Nghĩ rằng bạn có thể phát hiện ra một email lừa đảo? Thủ thuật mới này khó bắt hơn

Security
Nghĩ rằng bạn có thể phát hiện ra một email

Nhiều người đang trở nên tốt hơn trong việc phát hiện các cuộc tấn công lừa đảo từ các nguồn bên ngoài. Nhưng điều gì sẽ xảy ra nếu cuộc tấn công xuất hiện từ trong công ty của bạn? Một lỗ hổng được phát hiện gần đây trong Microsoft 365 đang được sử dụng để bỏ qua bảo mật truyền thống, giúp tin tặc dễ dàng hơn bao giờ hết để gửi cho bạn những email giả thuyết phục vượt qua khả năng phòng thủ của bạn.

Thủ thuật lén lút, giải thích

Trọng tâm của mối đe dọa mới này là tính năng của Microsoft 365 có tên là Direct Send. Nó được tạo ra vì một lý do đơn giản, hữu ích: cho phép các thiết bị văn phòng nội bộ, chẳng hạn như máy in và máy quét, để gửi email cho bạn – chẳng hạn như tài liệu được quét – mà không cần phải đăng nhập bằng mật khẩu. Tính năng này được thiết kế để thuận tiện và chỉ dành cho sử dụng nội bộ.

Tuy nhiên, sự tiện lợi này đã tạo ra một lỗ hổng bảo mật. Vì gửi trực tiếp không yêu cầu xác thực, tin tặc đã tìm ra cách khai thác nó để gửi email lừa đảo mà không cần phải ăn cắp một mật khẩu hoặc thỏa hiệp bất kỳ tài khoản nào. Tất cả những gì họ cần là một vài chi tiết có sẵn công khai và một số phỏng đoán để tìm ra định dạng địa chỉ email của công ty bạn.

Khi kẻ tấn công có địa chỉ email nội bộ hợp lệ, họ có thể sử dụng hệ thống gửi trực tiếp để gửi email trông giống như họ từ ai đó trong tổ chức của bạn. Và bởi vì các email này được chuyển qua cơ sở hạ tầng của Microsoft và dường như là nội bộ, chúng thường bỏ qua các bộ lọc bảo mật được thiết kế để bắt các tin nhắn đáng ngờ.

Trong a Chiến dịch gần đây đã ảnh hưởng đến hơn 70 tổ chứcNhững kẻ tấn công đã sử dụng phương pháp này để gửi thông báo thư thoại giả có chứa mã QR độc hại, lừa người dùng vào các trang web truy cập vào thông tin đăng nhập Microsoft 365 của họ.

Những gì bạn có thể làm: Hãy cảnh giác

Mặc dù bản sửa lỗi kỹ thuật là tùy thuộc vào nhóm CNTT của bạn, mọi người đều có thể giúp ngăn chặn các cuộc tấn công này bằng cách thận trọng.

  • Nghi ngờ người gửi – Ngay cả khi một email trông giống như từ một đồng nghiệp, hãy cảnh giác nếu yêu cầu là bất thường.
  • Câu hỏi thông báo nội bộ – Nhân viên đã quen với việc nhìn thấy thông báo từ máy quét và máy in, vì vậy họ hiếm khi đặt câu hỏi về tính xác thực của họ. Hãy suy nghĩ hai lần trước khi mở tệp đính kèm hoặc nhấp vào liên kết trong các tin nhắn tự động.
  • Cẩn thận với mã QR – Hãy rất cẩn thận về việc quét các mã QR bạn nhận được trong email, vì chúng có thể dẫn bạn đến các trang web độc hại.
  • Báo cáo, không trả lời – Nếu bạn thấy một email đáng ngờ, hãy báo cáo cho bộ phận CNTT của bạn ngay lập tức.

Đối với bộ phận CNTT của bạn: Bản sửa lỗi kỹ thuật

Cuộc tấn công này khai thác một cấu hình sai, không phải là một mối đe dọa không thể ngừng nghỉ, 0 ngày. Đội ngũ kỹ thuật của bạn có thể thực hiện một vài bước để đóng cửa lỗ hổng này.

  • Thực hiện các chính sách nghiêm ngặt – Thực thi nghiêm ngặt DMARC và các chính sách chống giả mạo để làm cho hàng giả khó vượt qua hơn. Bạn cũng nên kích hoạt chương trình Hardfail của SPF SPF để trao đổi bảo vệ trực tuyến.
  • Vô hiệu hóa hoặc từ chối gửi trực tiếp – Microsoft đang làm việc để vô hiệu hóa gửi trực tiếp theo mặc định. Trong thời gian chờ đợi, bạn có thể bật cài đặt từ chối trực tiếp gửi trực tiếp trong Trung tâm quản trị Exchange để chặn loại tấn công này.
  • Cờ thư không được xác thực – Thiết lập các quy tắc để gắn cờ bất kỳ email nội bộ không được xác thực để xem xét.
  • Bảo mật thiết bị của bạn -Đối xử với tất cả các thiết bị kết nối mạng, chẳng hạn như máy in và máy quét, như các điểm cuối hoàn chỉnh. Điều này có nghĩa là đưa chúng vào các mạng được phân đoạn, giám sát hoạt động của họ và hạn chế những gì chúng được phép làm.

Đừng đợi một cuộc tấn công để kiểm tra hàng phòng thủ của bạn. Liên hệ với các chuyên gia an ninh mạng của chúng tôi ngay hôm nay để giúp đảm bảo hệ thống email của bạn và để biết thêm thông tin về cách bảo vệ tổ chức của bạn.