Атакуващи използват реалната инфраструктура на Microsoft за callback фишинг и заобикалят защитите на имейл системите
Нова фишинг кампания демонстрира опасна еволюция в социалното инженерство, при която нападателите използват легитимни известия от Microsoft Azure Monitor, за да изпращат измамни съобщения, изглеждащи като официални предупреждения за подозрителни плащания.
Особено притеснителното е, че тези имейли не са spoofed, а се изпращат директно от реалната инфраструктура на Microsoft, което им позволява да преминават успешно всички стандартни проверки за сигурност.
Как работи атаката: легитимна платформа, злонамерено съдържание
Microsoft Azure Monitor е услуга за мониторинг, която позволява:
- проследяване на ресурси и приложения
- генериране на аларми при събития
- изпращане на автоматични известия
Атакуващите злоупотребяват именно с тази функционалност, като:
- създават аларми с лесно активиращи се условия (напр. плащания, фактури)
- добавят фишинг съобщения в описанието (description field)
- конфигурират изпращане на имейли към списъци, които след това разпространяват съобщението към жертвите
Защо атаката е толкова ефективна
Имейлите се изпращат от реален адрес:
Това означава, че те:
- преминават SPF, DKIM и DMARC проверки
- съдържат валидни Microsoft заглавки
- изглеждат напълно легитимни
Резултатът – значително по-високо доверие от страна на потребителите и по-нисък шанс за засичане.
Callback фишинг: от имейл към телефонна измама
Съобщенията съдържат:
- предупреждение за подозрителна транзакция (напр. $389 за Windows Defender)
- силно чувство за спешност
- телефонен номер за „поддръжка“
Това е класически callback phishing модел, при който:
- Жертвата получава имейл
- Обажда се на посочения номер
- Попада директно в контакт с измамниците
В последващите етапи могат да се извършат:
- кражба на идентификационни данни
- финансови измами
- инсталиране на софтуер за отдалечен достъп
Маскиране чрез бизнес логика и автоматизация
Атакуващите използват различни типове аларми, за да изглеждат съобщенията още по-реалистични:
- фактури (Invoice Paid)
- плащания (Payment Reference)
- получени средства
- системни събития (DiskFull, MemorySpike)
Тази вариативност прави кампанията по-трудна за откриване и филтриране.
Цел: корпоративен достъп
За разлика от масовия фишинг, тази кампания е ясно насочена към:
- бизнес потребители
- корпоративни акаунти
- организации с достъп до облачни услуги
Основната цел е първоначален достъп до корпоративни среди, който може да бъде използван за:
- последващи атаки
- странично придвижване (lateral movement)
- разгръщане на ransomware
Злоупотреба с доверие към облачните платформи
Тази кампания показва ключова тенденция – атакуващите вече не заобикалят защитите – те ги използват.
Вместо да изпращат фалшиви имейли, те:
- използват легитимни услуги
- внедряват злонамерено съдържание в тях
- експлоатират доверието към утвърдени доставчици
Това е фундаментална промяна в тактиката.
Препоръки към потребители и организации
За защита срещу подобни атаки:
- никога не се обаждайте на телефонни номера от имейли
- третирайте с подозрение всяко съобщение със спешно действие
- проверявайте транзакции директно в официалния акаунт
- обучавайте служителите за callback фишинг атаки
- ограничете кой може да създава и управлява аларми в Azure
Hовото лице на фишинга
Тази кампания ясно показва, че доверените платформи могат да бъдат превърнати в инструмент за атака.
В среда, където:
- имейлите са технически валидни
- инфраструктурата е легитимна
човешката преценка остава последната линия на защита.
