کمیته رکن چهارم – مهاجمان سایبری با سوءاستفاده از سرویس Azure Monitor مایکروسافت، ایمیلهای فیشینگ پیشرفتهای ارسال میکنند که از آدرس رسمی این شرکت ارسال شده و بهراحتی از فیلترهای امنیتی عبور میکنند.
به گزارش کمیته رکن چهارم، در این کمپین از تکنیک «فیشینگ تماس بازگشتی» استفاده شده است؛ بهگونهای که کاربران ایمیلهایی دریافت میکنند که ظاهراً از سوی مایکروسافت ارسال شده و حاوی هشدارهایی درباره تراکنشهای مشکوک هستند. در این پیامها از قربانی خواسته میشود برای پیگیری موضوع با یک شماره تماس بگیرد.
بررسیها نشان میدهد این ایمیلها برخلاف بسیاری از حملات فیشینگ، جعلی نیستند و مستقیماً از آدرس معتبر azure-noreply@microsoft.com ارسال میشوند. به همین دلیل این پیامها تمامی مکانیزمهای احراز اصالت ایمیل مانند SPF، DKIM و DMARC را با موفقیت پشت سر میگذارند و شناسایی آنها برای سامانههای امنیتی دشوار میشود.
در این روش، مهاجمان با ایجاد یک «قانون هشدار» در Azure Monitor و تعریف شرایط ساده برای فعال شدن آن، متن فیشینگ خود را در بخش توضیحات وارد میکنند. سپس این هشدارها به فهرستی از ایمیلها ارسال شده و در نهایت به قربانیان منتقل میشود.
هدف اصلی این حملات ایجاد حس اضطرار در قربانی است تا او با شماره تماس مهاجم ارتباط برقرار کرده و اطلاعات حساس خود را افشا کند یا اقدام به نصب نرمافزارهای دسترسی از راه دور نماید. در برخی موارد نیز این روش میتواند بهعنوان نقطه ورود اولیه به شبکههای سازمانی مورد استفاده قرار گیرد.
پیشزمینه
در سالهای اخیر، استفاده از سرویسهای معتبر برای اجرای حملات فیشینگ بهطور قابل توجهی افزایش یافته است. این روش که به سوءاستفاده از «زیرساختهای قابل اعتماد» معروف است، به مهاجمان امکان میدهد بدون نیاز به جعل هویت، اعتماد کاربران و سامانههای امنیتی را دور بزنند.
کارشناسان امنیتی توصیه میکنند کاربران هرگونه ایمیلی که حاوی درخواست فوری یا شماره تماس است را با دقت بررسی کرده و برای اطمینان، مستقیماً به وبسایت رسمی سرویس مورد نظر مراجعه کنند.
منبع: BleepingComputer
