Un nou tip de atac cibernetic utilizează adresa de e-mail builders.microsoftonline.com pentru a păcăli utilizatorii, exploatând reputația de încredere a serverelor Microsoft. Mecanismul constă în manipularea mesajelor aparent obișnuite, cu subiecte legate de Bitcoin, site-uri terțe sau instrucțiuni financiare falsificate.
Modus operandi al atacatorilor
Atacatorii creează un tenant Microsoft 365 de unică folosință și modifică numele asociat acestuia în Microsoft Entra ID, introducând mesaje frauduloase precum alertă financiară sau promoție falsă. Sistemul Microsoft apoi trimite automat un e-mail de verificare către adresa țintă, incluzând în subiect numele configurat de atacator, ceea ce face mesajul să pară legitim.
Încălcarea filtrelor anti-spam
Schema nu utilizează domenii suspecte sau atașamente malițioase, ceea ce face mai dificil detectarea pericolului de către filtrele de securitate. Mesajele sunt transmise prin canalele oficiale ale Microsoft, creând impresia unui comunicat autentic și diminuând șansele ca utilizatorul să fie surprins sau să fie deprins de autenticitatea mesajului.
Impactul pentru utilizatori
Pentru utilizatori ocupați, mesajele pot părea credibile, mai ales dacă sunt orientate spre subiecte necunoscute, precum crypto sau alertă financiară. Riscul major este acela că mesajele acceptate ca fiind de încredere pot determina acțiuni neautorizate, inclusiv furnizarea de informații sensibile sau accesarea de linkuri malițioase.
De ce este dificil de detectat
Filtrele anti-spam sunt eficiente în identificarea linkurilor sau fișierelor suspecte, dar atacul exploatează un flux legitim al notificărilor Microsoft. Astfel, mesajele nu sunt marcate automat ca periculoase, fiind considerate ca fiind trimise de o sursă oficială, ceea ce crește riscul de succes al atacului.
Concluzii despre pericol
Această metodă se bazează pe încrederea utilizatorilor în serviciile Microsoft, utilizând infrastructura și adresele oficiale pentru a înșela. Utilizatorii trebuie să fie atenți la mesajele primite și să verifice întotdeauna sursa înainte de a acționa pe bază de informații sau linkuri din e-mailuri.