Фишеры провели спуфинг Microsoft.com, чтобы обойти защиту Office 365

Татьяна Никитина 10 Декабря 2020 - 14:21

Домашние пользователи

...

Авторы новой фишинговой кампании рассылают письма, имитирующие уведомление Microsoft Outlook, якобы отправленное из домена microsoft.com. Как оказалось, эти фальшивки с успехом попадают в корпоративные ящики Office 365 в обход защитных фильтров на шлюзе безопасности электронной почты.

За последние две недели подобные сообщения получили около 100 клиентов израильской ИБ-компании Ironscales. Эти потенциальные жертвы целевого фишинга представляют различные области хозяйственной деятельности и суммарно владеют парой тысяч почтовых ящиков.

Разбор текущих атак показал, что подделки фишеров выглядят очень убедительно. Получателю сообщают о наличии писем в карантине на портале Microsoft и предлагают перейти по ссылке для просмотра и принятия решений.

Вставленная фишерами ссылка открывает поддельную страницу входа на сервис, запрашивающую логин и пароль пользователя Office 365. Если посетитель введет требуемые данные, они отправятся прямиком к злоумышленникам, и те смогут использовать их для мошенничества или продажи.

Новые фальшивки с успехом обходят защитные фильтры Microsoft, установленные на SEG-шлюзе (secure email gateway, шлюз безопасности электронной почты). Письма с поддельным адресом отправителя не отсеивает ни Microsoft Defender для Office 365 (ранее ATP, Advanced Threat Protection), ни недавно запущенная служба EOP (Exchange Online Protection — облачный сервис фильтрации электронной почты). Экспертов это очень удивило, так как спуфинг доменов источника писем, даже использование реплик — известный прием фишеров, и его успешно распознает такая защита, как SEG.

Как оказалось, причиной странного поведения облачной защиты Microsoft является некорректная настройка ее серверов: они не диктуют обязательное использование механизмов DMARC (Domain-based Message Authentication, Reporting and Conformance).

Протокол аутентификации DMARC, как и другие технологии аутентификации источника писем (SPF, DKIM), помогает владельцам доменов защищать их от противоправного использования. Его главной отличительной чертой является возможность обратной связи между получателем (оператором почтового сервиса) и легальным отправителем.

DMARC позволяет отправителю сигнализировать интернет-провайдерам о наличии таких средств защиты, как SPF и DKIM, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность (например, отправлять их в спам-карантин или блокировать). DMARC рекомендуется к использованию как дополнение к существующим механизмам подтверждения подлинности, поскольку этот протокол способен повысить эффективность аутентификации и уменьшить риск злоупотреблений.

«Любой другой почтовый сервис, применяющий DMARC и контролирующий его соблюдение, заблокировал бы такие сообщения, — сетуют исследователи. — Непонятно, почему Microsoft разрешает подделывать свой собственный домен в атаках на ее email-инфраструктуру».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Февраля 2026 - 09:43

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Утечка данных клиентов приложений для слежки затронула 500 тыс. записей

Хактивисту удалось получить доступ к базе данных одного из поставщиков так называемых stalkerware — приложений для скрытой слежки за владельцами смартфонов. В результате в Сеть утекли более 500 тысяч платёжных записей, связанных с клиентами, которые платили за слежку за другими людьми.

Речь идёт о данных пользователей сервисов Geofinder, uMobix, Peekviewer (бывший Glassagram) и ряда других приложений для мониторинга и трекинга.

Все они предоставляются одним и тем же вендором — компанией Struktura, зарегистрированной на территории Украины. В утёкшей базе также оказались платёжные записи сервиса Xnspy, уже известного по крупным утечкам в прошлые годы.

Как выяснили в TechCrunch, в базе содержится около 536 тысяч строк с данными клиентов. Среди них — адреса электронной почты, название сервиса, за который платил пользователь, сумма платежа, тип банковской карты (Visa или Mastercard) и последние четыре цифры карты. Дат платежей в наборе данных не было.

Хотя полных платёжных реквизитов в утечке нет, даже такой объём информации может быть опасен, особенно с учётом того, чем именно занимались клиенты этих сервисов.

Журналисты TechCrunch проверили утечку несколькими способами. В частности, они использовали одноразовые почтовые ящики с публичным доступом, которые встречались в базе, и через функции восстановления пароля подтвердили, что такие аккаунты действительно существуют.

Дополнительно проверялись уникальные номера счетов, которые совпали с данными, доступными на страницах оплаты сервисов — причём без необходимости проходить аутентификацию. Это указывает на серьёзные проблемы с безопасностью у поставщика.

Хактивист под ником wikkid рассказал, что получил доступ к данным из-за «банальной ошибки» на сайте вендора. По его словам, он целенаправленно атакует приложения, которые используются для слежки за людьми, и позже опубликовал выгруженные данные на одном из хакерских форумов.

Приложения вроде uMobix и Xnspy после установки на телефон жертвы передают третьим лицам практически всё содержимое устройства: сообщения, звонки, фотографии, историю браузера и точные данные о местоположении.

При этом такие сервисы открыто рекламировались как инструменты для слежки за супругами и партнёрами, что во многих странах прямо нарушает закон.

Это далеко не первый случай, когда разработчики stalkerware теряют контроль над данными, как клиентов, так и самих жертв слежки. За последние годы десятки подобных сервисов становились жертвами взломов или утечек из-за элементарных ошибок в защите.

Ирония ситуации в том, что компании, зарабатывающие на вторжении в чужую приватность, раз за разом не способны защитить даже собственных клиентов.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »