Utilizatorii Microsoft 365 din Statele Unite și Europa sunt ținta unei noi și avansate amenințări cibernetice, o platformă PhaaS cunoscută sub numele de Salty 2FA. Aceasta folosește tehnici avansate pentru a fura credențialele de conectare, având capacitatea de a ocoli chiar și autentificarea în doi pași (2FA). Atacurile vizează organizații din diverse sectoare, cum ar fi finanțe, telecomunicații, energie și educație, prin intermediul unor campanii de phishing bine construite.
Salty 2FA se remarcă prin infrastructura sa unică de domenii, care combină domenii .com cu domenii rusești .ru. Această combinație complexă ajută la evitarea sistemelor tradiționale de detecție. Victimele sunt atrase prin e-mailuri de phishing care conțin diverse pretexte, cum ar fi mesaje vocale false sau cereri de acces la documente. Aceste e-mailuri le direcționează către pagini de conectare Microsoft false, dar foarte convingătoare.
Analiza tehnică a arătat că Salty 2FA are un proces de execuție în cinci etape, conceput pentru a rezista analizelor de securitate. Codul sursă este puternic ofuscat, iar platforma blochează instrumentele de depanare pentru a-și ascunde funcționalitatea. Această platformă este capabilă să intercepteze și să proceseze diverse metode de autentificare 2FA, inclusiv notificări push, coduri prin SMS și aplicații de autentificare. Datele furate sunt transmise către servere găzduite în Rusia, confirmând sofisticarea și amploarea acestei noi amenințări.
Sfaturi de Protectie
1. Utilizează cea mai sigură metodă de autentificare cu doi factori (2FA)
Autentificarea cu doi factori (2FA) adaugă un strat esențial de securitate conturilor tale, cerând o a doua dovadă de identitate pe lângă parolă. Deși atacatorii sofisticati, precum cei din spatele platformei Salty 2FA, pot ocoli metodele tradiționale (SMS sau notificări push), există opțiuni mult mai sigure.
Pasul 1: Navighează în setările contului. Accesează meniul "Settings (Setări)" sau "Account (Cont)" în aplicația sau pe site-ul pe care îl folosești.
Pasul 2: Caută opțiunea de securitate. Caută secțiunea "Security (Securitate)" și opțiunea "Two-Factor Authentication (Autentificare în doi pași)" sau similar.
Pasul 3: Alege o metodă de 2FA sigură.
- Opțiunea recomandată: Chei de securitate fizice (U2F/FIDO2). Pentru cea mai bună protecție, alege o cheie de securitate fizică (ex: YubiKey). Acestea sunt imune la atacurile de phishing, deoarece folosesc criptografie avansată pentru a verifica legitimitatea site-ului pe care te afli.
- Alternativă sigură: Aplicații de autentificare. Dacă nu ai o cheie fizică, alege o aplicație dedicată (ex: Google Authenticator, Microsoft Authenticator). Aceste aplicații generează coduri pe care doar tu le poți vedea pe telefon.
- Metodă de evitat: SMS. Pe cât posibil, evită autentificarea prin SMS, deoarece atacatorii pot ocoli acest tip de protecție mai ușor.
2. Tastează manual adresa site-ului oficial in browser
Platforma de phishing Salty 2FA este cunoscută pentru faptul că imită perfect interfața de login de la Microsoft. Nu te baza pe linkurile din e-mailuri, ci tastează manual adresa site-ului oficial pentru a te asigura că ești pe o pagină sigură.
Pasul 1: Deschide un browser nou și tastează direct în bara de adrese https://portal.office.com sau https://www.microsoft365.com .
Pasul 2: Marchează această pagină ca favorit (bookmark) pentru a o accesa rapid pe viitor și a evita orice sursă externă care ar putea fi periculoasă.
3. Fii extrem de atent la adresele de e-mail și la detaliile tehnice
Atacatorii folosesc e-mailuri de phishing care imită perfect aspectul celor de la Microsoft 365, dar conțin mici erori. O metodă eficientă de a le detecta este să verifici informațiile tehnice din antetul mesajului.
Pasul 1: Analizează cu atenție adresa expeditorului. Asigură-te că domeniul este @microsoft.com sau cel oficial al organizației tale. Orice variație, cum ar fi @m1crosoft.com sau @support-microsoft.net, este un semn clar de alarmă.
Pasul 2: Accesează detaliile tehnice ale e-mailului. Dă click dreapta pe mesaj și alege opțiunea "View message details" sau similar (numele poate varia în funcție de clientul de e-mail, ex: "Show Original" în Gmail sau "View Source" în alte aplicații).
Pasul 3: Verifică câmpurile tehnice. Odată ce ai accesat detaliile, caută câmpurile "Return-Path" și "From". Dacă aceste câmpuri afișează domenii diferite sau nelegitime, e-mailul este aproape sigur un atac de phishing.
4. Folosește un manager de parole
Un manager de parole te ajută să generezi și să stochezi parole unice și complexe pentru fiecare cont, reducând considerabil riscul ca un singur atac să compromită mai multe conturi.
Pasul 1: Instalează un manager de parole de încredere (ex: Bitwarden, 1Password).
Pasul 2: Activează funcția de completare automată a parolelor. Un manager de parole va completa datele de login doar dacă URL-ul corespunde cu cel salvat, blocând astfel tentativele de phishing.
Pasul 3: Creează o parolă principală complexă, care să nu aibă nicio legătură cu alte parole.
5. Nu ceda la presiune sau la mesaje alarmiste
Atacatorii se bazează pe ingineria socială pentru a te determina să acționezi rapid, fără să ai timp să te gândești.
Pasul 1: Fii sceptic față de e-mailurile care conțin mesaje precum "Acțiune urgentă necesară", "Contul va fi suspendat" sau "Actualizează datele acum".
Pasul 2: Verifică direct starea contului tău accesând pagina de login oficială. E-mailurile legitime de la Microsoft te avertizează de obicei, dar nu te presează să acționezi imediat.
6. Actualizează-ți constant software-ul
Actualizările de software includ, de cele mai multe ori, patch-uri de securitate esențiale care repară vulnerabilități pe care atacatorii le-ar putea exploata.
Pasul 1 (Windows): Intră în "Settings" (Setări) > "Update & Security" (Actualizare și securitate) > "Windows Update".
Pasul 2 (Windows): Apasă pe "Check for updates" (Verifică dacă există actualizări) și instalează-le pe cele disponibile.
Pasul 3 (macOS): Mergi la meniul Apple > "System Settings" (Setări sistem) > "Software Update" (Actualizare software).
7. Verifică istoricul activității contului tău
Microsoft 365 îți permite să vezi unde și când a fost accesat contul tău. O verificare periodică te ajută să detectezi activitatea suspectă înainte ca aceasta să devină o problemă majoră.
Pasul 1: Accesează direct portalul Office 365 și navighează la "My Account" -> "My Sign-ins".
Pasul 2: Verifică dacă există conectări din locații, de pe dispozitive sau din browsere necunoscute. Dacă detectezi o activitate suspectă, schimbă-ți parola imediat.
8. Fii precaut cu rețelele Wi-Fi publice
Rețelele Wi-Fi publice pot fi nesecurizate și pot fi folosite de atacatori pentru a intercepta datele tale.
Pasul 1: Evită să te conectezi la conturi sensibile (e-mail de serviciu, conturi bancare) atunci când ești conectat la o rețea Wi-Fi publică.
Pasul 2: Dacă este necesar să te conectezi, folosește un VPN (Virtual Private Network) care îți criptează traficul de internet.
9. Raportează imediat e-mailurile de phishing
Raportarea mesajelor de phishing ajută echipele de securitate să le blocheze și să prevină atacuri viitoare.
Pasul 1: Nu răspunde și nu da click pe niciun link din e-mail.
Pasul 2: Marchează e-mailul ca "phishing" sau "spam" în clientul tău de e-mail (ex: Outlook, Gmail).
Pasul 3: Raportează direct e-mailul către echipa IT a companiei tale, furnizând toate detaliile tehnice.
10. Implementează politici de securitate avansate (pentru administratori IT)
Dacă ești administrator IT, poți proteja utilizatorii la nivel de organizație prin măsuri proactive de securitate.
Pasul 1: Activează Azure AD Identity Protection pentru a detecta riscuri, cum ar fi conectările din locații anonime sau comportamente de conectare neobișnuite.
Pasul 2: Activează Microsoft Defender for Office 365 pentru a scana e-mailurile primite și a bloca automat atacurile de tip phishing.
Pasul 3: Educă-ți angajații cu privire la riscurile de phishing și la cele mai bune practici de securitate.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro