Actieve phishing campagne

We zien dat er een zeer actieve phishing campagne in omloop is waarmee geprobeerd wordt om Microsoft Office 365 inloggegevens te achterhalen. De aanvallers gebruiken hiervoor nagemaakte Microsoft inlogvensters die ondergebracht zijn op servers in Microsoft Azure. Hierdoor zien deze inlogvensters er legitiem uit en zijn ze moeilijk te onderscheiden van de officiële inlogvensters.

Doordat deze vensters aangeboden worden vanuit Azure zijn ook de beveiligingscertificaten legitiem waardoor zelfs de kritische gebruiker eerder geneigd zal zijn om hierop in te loggen. De aanval start door een e-mail bericht met daarin een link naar de nagemaakte inlogpagina’s. Onderstaand een voorbeeld hoe deze berichten eruit kunnen zien inclusief een schermafdruk van de nagemaakte inlogformulieren die achter de link zitten.

Website
« 2 van 2 »

Het lijkt er op dat de URL’s op dit moment nog niet door de standaard anti-phishing bescherming van Office365 zelf wordt herkend, waardoor de berichten niet worden tegengehouden, maar in de spam folder terecht komen. De gebruikte domeinnaam in deze aanvallen eindigt op:

web.core.windows.net

Wat kunt u hiertegen doen als organisatie:

Instellen van Multifactor authenticatie op Office365.

Mocht de aanvaller met deze aanval toegang krijgen tot de inloggegevens dan zullen deze niet gebruikt kunnen worden indien multifactor authenticatie is ingesteld voor deze gebruiker.
Dit blijft een basisvoorziening die gezien de constant toenemende dreigingen bij iedere organisatie ingericht behoort te zijn.

Detecteren van deze berichten en laten markeren door de mailrouter.

Dit is een maatregel die de beheerder van uw Office 365 omgeving kan instellen. Hiermee wordt er een extra actie uitgevoerd voor e-mailberichten waarin de bovengenoemde domeinnaam voorkomt.
Een door Promax ingestelde maatregel is het toevoegen van een extra waarschuwingsbalk in het bericht dat hier mogelijk sprake is van een phishing e-mail. Optioneel kan er een kopie van het bericht verstuurd worden naar het securityteam.

Blokkeren of waarschuwen indien de betrokken Azure domeinnaam geopend wordt.

Deze maatregel vereist dat uw infrastructuur beschikt over voorzieningen waarmee de toegang tot websites en URL’s gereguleerd kan worden zoals een proxy server of web content filter als onderdeel van de virusscanner.

Uw medewerkers informeren en alert maken op de inlogpagina met uw bedrijfslogo.

De standaard inlogpagina zou na het invoeren van de gebruikersnaam uw gebruiker altijd moeten omleiden naar de gepersonaliseerde pagina.
Dit vereist dat er voor uw organisatie gebruik gemaakt worden van een eigen inlogpagina die herkenbaar is voor uw medewerkers.

Vanuit de SOC dienstverlening wordt inmiddels actief gemonitord bij aangesloten klanten of deze domeinnaam wordt aangeroepen en zal hier een incident voor worden aangemaakt.

Indien u assistentie nodig heeft bij het treffen van deze maatregelen om hiermee over een veiligere O365 omgeving voor uw organisatie te beschikken.

Neemt u dan contact op met het Promax Security team: 088-7070788.


Samen naar een veiligere toekomst!