Oszuści wykorzystują usługę Microsoft 365 Direct Send do fałszywych wiadomości e-mail skierowanych do amerykańskich firm
Oszuści wykorzystują usługę Microsoft 365 Direct Send do podszywania się pod wewnętrzne wiadomości e-mail kierowane do amerykańskich firm, omijając filtry bezpieczeństwa i stosując ataki phishingowe z użyciem fałszywych wiadomości głosowych i kodów QR.
Badacze ds. cyberbezpieczeństwa z Varonis Threat Labs ujawnili nową, wyrafinowaną kampanię phishingową, która wykorzystuje mało znaną funkcję pakietu Microsoft 365 do wysyłania złośliwych wiadomości e-mail.
Atak rozpoczął się w maju 2025 r. i jest nieustannie aktywny. Jego celem było już ponad 70 organizacji, przy czym zdecydowana większość, bo aż 95%, to organizacje z siedzibą w USA.
Unikalną cechą tej kampanii jest jej zdolność do „podszywania się pod wewnętrznych użytkowników bez konieczności naruszania konta”, co sprawia, że jest ona wyjątkowo trudna do wykrycia przez tradycyjne systemy zabezpieczeń poczty e-mail, zauważyli badacze we wpisie na blogu udostępnionym serwisowi Hackread.com.
Kampania wykorzystuje funkcję Direct Send z Microsoft 365, zaprojektowaną dla urządzeń wewnętrznych, takich jak drukarki, aby wysyłać e-maile bez konieczności uwierzytelniania użytkownika. Według Varonisa atakujący nadużywają tej funkcji.
Tom Barnea z Varonis Threat Labs podkreślił w raporcie, że ta metoda działa, ponieważ „nie jest wymagane logowanie ani poświadczenia”. Aktorzy zagrożeń potrzebują jedynie kilku publicznie dostępnych szczegółów, takich jak domena firmy i wewnętrzne formaty adresów e-mail, które często są łatwe do odgadnięcia.
Korzystając z Direct Send, przestępcy mogą tworzyć wiadomości e-mail, które wydają się pochodzić z organizacji, nawet jeśli są wysyłane z zewnętrznego źródła. Pozwala to złośliwym wiadomościom ominąć typowe kontrole bezpieczeństwa poczty e-mail, ponieważ są one często traktowane przez własne filtry Microsoftu i rozwiązania innych firm jako legalna komunikacja wewnętrzna.
Ponadto Varonis zauważył, że te fałszywe wiadomości e-mail często imitują powiadomienia poczty głosowej, zawierające załącznik PDF z kodem QR. Zeskanowanie tego kodu QR kieruje ofiary na fałszywą stronę logowania Microsoft 365, której celem jest kradzież danych uwierzytelniających.
Organizacje muszą być czujne, aby wykryć tę nową formę ataku. Varonis radzi sprawdzać nagłówki wiadomości e-mail pod kątem takich oznak, jak zewnętrzne adresy IP wysyłające do „inteligentnego hosta” Microsoft 365 (np. tenantname.mail.protection.outlook.com) lub błędy w sprawdzaniu uwierzytelniania, takie jak SPF, DKIM lub DMARC dla domen wewnętrznych. Wskazówki behawioralne, takie jak wiadomości e-mail wysyłane przez użytkowników do samych siebie lub wiadomości pochodzące z nietypowych lokalizacji geograficznych bez żadnej odpowiadającej im aktywności logowania, są również silnymi wskaźnikami.
Aby nie paść ofiarą, Varonis zaleca włączenie ustawienia Reject Direct Send w Exchange Admin Center i wdrożenie ścisłej polityki DMARC. Edukacja użytkowników jest kluczowa, szczególnie ostrzeganie personelu o niebezpieczeństwach związanych z załącznikami kodów QR w atakach Quishing ( QR Phishing ).
Wreszcie, wymuszenie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników i wdrożenie zasad dostępu warunkowego może chronić konta, nawet jeśli dane uwierzytelniające zostaną skradzione w wyniku wyrafinowanych prób phishingu.
HackRead
