photers定位办公室365管理员的行为有一个新的伎俩

Photers定位办公室365管理员有一个新的伎俩,他们的袖子

“如果登录失败,则最终用户呈现假Office 365登录错误,要求他们再次提供其凭据,因为它们将在正版办公室登录中。这种方法是我们之前没有看到的东西,”Avanan研究人员讲述了帮助净安全。

攻击,一步一步

这一切都始于假通知,据说来自微软:

photers定位办公室365管理员

电子邮件中的所有链接指向假Office 365登录页面,位于Microsoft Azure Blob中,并通过A访问 Windows.net. 域(齐全,有一个有效的Microsoft SSL证书)。

根据Avanan,登录页面包含一个脚本,通过触发尝试实时登录的后端IMAP客户端来验证Office 365凭据。

“如果登录成功,则黑客立即通过IMAP协议开始将受害者的电子邮件同步到远程客户端,而受害者的浏览器指示Real Office 365门户。这提供了真正的‘conclusion’攻击使受害者不知道账户妥协,” they explained.

如果登录失败,则会将受害者显示出错误页面,就像他们将在合法的办公室365网站上。这一步骤有效地中和通常给用户的建议,以尝试进入假凭证,如果他们认为登录表格可能是假的。

最终,网络钓鱼受害者可能无法意识到他们的帐户已经受到影响了很长一段时间,让攻击者可以自由地使隐蔽的变化能够掌握他们的青睐。

保护您的办公室365帐户

为了保护Office 365管理员和其他类型的账户,Avanan研究人员建议启用多因素身份验证(MFA)并在特定情况下禁用IMAP访问, 可以利用IMAP绕过MFA.

“IT员工不应为其日常账户提供管理员访问权限。建议有两个单独的办公室365帐户:一个用于管理员目的,另一个用于日常使用。此外,管理员帐户不应有许可邮箱,” they recommend.

最后,应该教授用户,虽然是Microsoft自己的域, Windows.net. 对任何人开放,真正的办公室365登录页面只能在 Microsoftonline.com. domain.

分享这个