Специалисты компании CheckPoint, специализирующейся на кибербезопасности, раскрыли схему кражи данных с помощью Microsoft Office 365. Как сообщается в поступившем в редакцию «Ленты.ру» пресс-релизе, мошенники взломали почтовый сервер Оксфордcкого университета, чтобы отправлять вредоносные письма жертвам.
Эксперты CheckPoint изучили несколько подобных писем. Мошенники отправляли письма с адресов, которые принадлежали настоящим поддоменам Оксфордского университета. Таким образом хакерам удавалось обойти проверку репутации, которую требуют меры безопасности для домена отправителя.
В письмах говорилось, что для прослушивания голосового сообщения от Microsoft нужно перейти по ссылке. После этого пользователи оказывались на фишинговой странице, замаскированной под страницу входа в Office 365. При этом ресурс располагался на сервере Adobe, который в 2018 году использовала компания Samsung.
«Это позволяло хакерам создать видимость легитимного домена Samsung, что повышало доверие у жертв», — говорится в релизе. Используя определенный формат ссылок и законный домен, злоумышленники увеличили шансы того, что их атака будет успешной.
«Использование известных и авторитетных брендов для обхода продуктов безопасности на пути к жертвам. Сейчас это лучший способ, чтобы закрепиться в корпоративной сети», — заявил Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. Он отметил, что это позволяет мошенникам получить «неограниченный доступ ко всем операциям компании: транзакциям, финансовым отчетам, отправке электронных писем внутри компании из надежного источника, паролям и даже адресам облачных активов компании».