مراقب این کلاهبرداری های فیشینگ تیم های مایکروسافت باشید

هکرها از تیم های مایکروسافت برای گسترش کمپین های فیشینگ، ویشینگ و کوشینگ استفاده می کنند و از مهندسی اجتماعی برای فریب قربانیان برای به اشتراک گذاری داده های خصوصی مهم استفاده می کنند. به‌عنوان یکی از محبوب‌ترین ابزارهای کار مشترک در سراسر جهان، میلیون‌ها قربانی احتمالی وجود دارد – اما چند راه مفید برای شناسایی کلاهبرداری تیم‌های مایکروسافت وجود دارد.

خلاصه عناوین

• کلاهبرداری احراز هویت MFA

• حمله باج افزار Black Basta

• کلاهبرداری شغلی جعلی تیم مایکروسافت

• جعل منابع انسانی تیم های مایکروسافت با استفاده از فایل های ZIP مخرب

• فایل PDF مخرب ارسال شده از طریق تیم های مایکروسافت

• چگونه از خود محافظت کنیم

هکرها از تیم های مایکروسافت برای گسترش کمپین های فیشینگ، ویشینگ و کوشینگ استفاده می کنند و از مهندسی اجتماعی برای فریب قربانیان برای به اشتراک گذاری داده های خصوصی مهم استفاده می کنند. به‌عنوان یکی از محبوب‌ترین ابزارهای کار مشترک در سراسر جهان، میلیون‌ها قربانی احتمالی وجود دارد – اما چند راه مفید برای شناسایی کلاهبرداری تیم‌های مایکروسافت وجود دارد.

کلاهبرداری احراز هویت MFA

این کلاهبرداری که تصور می شود همان گروه پشت حمله SolarWinds باشد، احراز هویت چندعاملی را با استفاده از تاکتیک های مهندسی اجتماعی دور می زند. مهاجمان از مستاجران مایکروسافت 365 که قبلاً به خطر افتاده بودند برای ایجاد یک زیر دامنه جدید با موضوع امنیتی “onmicrosoft.com” و اضافه کردن یک کاربر جدید استفاده می کنند. بازیگران همچنین نام مستاجر را به “محافظت هویت مایکروسافت” یا چیزی مشابه تغییر می دهند.

سپس، آنها درخواستی برای چت به هدف ارسال می کنند. اگر کاربر آن را بپذیرد، یک پیام MS Teams به همراه یک کد برای او ارسال می‌شود که در مرحله بعدی متقاعد می‌شود که این شماره را در برنامه Microsoft Authenticator دستگاه خود وارد کند. هنگامی که هدف کد را در برنامه احراز هویت وارد کرد، هکر به حساب مایکروسافت 365 هدف دسترسی پیدا می کند. سپس مهاجم اطلاعات مستاجر MS 365 را به سرقت می برد یا یک دستگاه مدیریت شده را به سازمان اضافه می کند.

حمله باج افزار Black Basta

گروه بدنام باج‌افزار Black Blasta نیز با استفاده از یک کمپین مهندسی اجتماعی، آدرس‌های ایمیل را با هرزنامه بمباران می‌کند. هکرها با کاربر MS Teams تماس می گیرند که خود را به عنوان پشتیبانی IT یا یک میز کمک شرکتی معرفی می کنند، و پیشنهاد می کنند مشکل مداوم هرزنامه را برطرف کنند، که معمولاً شامل ایمیل های غیر مخرب مانند تأیید ثبت نام، خبرنامه ها یا تأییدیه های ایمیل است که به منظور غلبه بر صندوق ورودی کاربر است.

در مرحله بعد، هکر با کارمند غرق شده تماس می گیرد و سعی می کند تا از آنها بخواهد ابزار دسترسی از راه دور دسکتاپ را نصب کنند، جایی که می توانند دستگاه کاربر را کنترل کنند. پس از کنترل، آنها می توانند طیف وسیعی از بدافزارها، از جمله تروجان دسترسی از راه دور (RAT)، Cobalt Strike، بدافزار DarkGate و سایر محموله های خطرناک را نصب کنند. در نهایت، بلک بلاستا کنترل کامل دستگاه را به دست می‌آورد و می‌تواند تا حد امکان داده‌ها را از شبکه خارج کند.

کلاهبرداری شغلی جعلی تیم مایکروسافت

کلاهبرداری های شغلی جعلی مدتی است که وجود داشته است و افرادی را که به دنبال شغل می گردند طعمه می گیرد و کلاهبرداران از چت تیم های مایکروسافت برای سوء استفاده از قربانیان استفاده می کنند. مهاجمان درباره یک شغل جعلی به شما ایمیل می زنند و پیشنهاد می کنند از تیم های مایکروسافت برای انجام مصاحبه استفاده کنید. حالا، این اولین پرچم قرمز است: کل مصاحبه از طریق چت انجام خواهد شد.

سپس یک کار جعلی به شما پیشنهاد می شود و از شما خواسته می شود اطلاعات خود را به پایگاه داده شرکت ارسال کنید. برخی از قربانیان یک سند Google دریافت می کنند که PII و شماره اجتماعی/مالیاتی آنها را درخواست می کند. در برخی موارد، از قربانیان خواسته می‌شود اقلامی را خریداری کنند که ظاهراً برای انجام کار مورد استفاده قرار می‌گیرند، هزینه‌ای را برای استخدام شدن بپردازند یا کارت‌های هدیه بخرند، از جمله رایج‌ترین نشانه‌هایی که نشان می‌دهد پیشنهاد شغلی قانونی نیست.

جعل منابع انسانی تیم های مایکروسافت با استفاده از فایل های ZIP مخرب

مهاجمان نه تنها تیم‌های پشتیبانی فناوری اطلاعات را جعل می‌کنند، بلکه جعل هویت پرسنل منابع انسانی را نیز جعل می‌کنند. این حمله که در ابتدا در سال 2023 مشاهده شد، با پیامی از طرف شخصی که خود را به عنوان پرسنل منابع انسانی با استفاده از یک حساب کاربری مایکروسافت 365 قبلاً در معرض خطر قرار داده بود، شروع می شود. در برخی موارد، مهاجم حتی به عنوان مدیر عامل شرکت ظاهر می شد.

هدف یک پیام فیشینگ دریافت می کند که توضیح می دهد تغییراتی در برنامه تعطیلات کارمند ایجاد می شود و برخی از کارمندان از جمله قربانی تحت تأثیر قرار می گیرند. پیام فیشینگ حاوی یک لینک دانلود به برنامه جدید فرضی است که در واقع پیوندی به بدافزار DarkGate است. اگر فایل مخرب بر روی دستگاه مورد نظر اجرا شود، بدافزار را نصب می‌کند و به مهاجم دسترسی کامل به دستگاه و داده‌های آن را می‌دهد.

فایل PDF مخرب ارسال شده از طریق تیم های مایکروسافت

مهاجمان همچنین از حساب‌های مایکروسافت 365 در معرض خطر برای ارسال فایل‌های اجرایی مخرب طراحی شده به عنوان فایل‌های PDF استفاده می‌کنند. این حمله با دعوت به چت تیم های مایکروسافت شروع می شود، که در صورت پذیرش، در واقع یک فایل PDF به ظاهر بی ضرر را دانلود می کند. با این حال، این واقعا یک فایل اجرایی مخرب است که از یک پسوند دوگانه برای فریب شما استفاده می کند. بنابراین، جایی که پسوند به نظر می رسد PDF است، در واقع یک EXE است.

نام فایل معمولاً با چیزی است که نیاز به اقدام فوری دارد، مانند “Navigating Future Changes.pdf.msi” که پس از باز شدن، در واقع بدافزار را دانلود می کند.

چگونه از خود محافظت کنیم

همیشه باید مراقب پیام‌های خارجی و دعوت‌هایی باشید که در تیم‌های مایکروسافت دریافت می‌کنید. حتی اگر به نظر می رسد که از طرف شخصی است، بهتر است دوباره بررسی کنید، به خصوص اگر شامل یک فایل، یک پیوند یا دعوت به یک چت است که انتظار دریافت آن را نداشتید. هرگز کنترل دستگاه خود را به شخص ثالث ندهید مگر اینکه تأیید کرده باشید که این دستگاه از طرف نماینده قانونی تیم فناوری اطلاعات شما است. مراقب تماس‌های فوری برای اقدام در ایمیل‌ها و پیام‌ها باشید، زیرا اینها اغلب به گونه‌ای طراحی شده‌اند که شما را وادار می‌کنند قبل از فکر کردن، ابتدا اقدام کنید.

راه های دیگر برای محافظت از خود در برابر کلاهبرداری های فیشینگ شامل استفاده از سایت های بررسی پیوند برای تعیین ایمن بودن یک پیوند یا سایت های بررسی سن دامنه است که به شما امکان می دهد سن دقیق دامنه را مشاهده کنید. سایت‌های فیشینگ مخرب معمولاً فقط چند روز، هفته یا ماه از عمرشان می‌گذرد و اغلب آدرس‌هایی را تقلید می‌کنند تا شما را غافلگیر کنند.

منبع مقاله