Microsoft Digital Defense Report 2022 nakreśla obecną sytuację w obszarze cyberbezpieczeństwa. Jako jedno z największych zagrożeń Microsoft podaje wyłudzanie danych uwierzytelniających. Ataki phishingowe kierowane są na skrzynki odbiorcze osób na całym świecie, zaś ich celem często padają użytkownicy z danymi logowania do Microsoft 365.
Poświadczenia Microsoft 365 pozostają jednym z najbardziej poszukiwanych typów kont przez atakujących. Po przejęciu danych logowania atakujący mogą zalogować się do firmowych systemów komputerowych, aby ułatwić infekcję malware i ransomware, wykraść poufne dane i informacje firmy, uzyskując dostęp do plików w SharePoint, a także kontynuować rozprzestrzenianie phishingu, wysyłając dodatkowe złośliwe wiadomości e-mail za pomocą programu Outlook.
— Microsoft Digital Defense Report 2022
Zebrane dane pochodzą z różnych usług i aplikacji, w tym Microsoft Defender for Office, Azure Active Directory Identity Protection, Defender for Cloud Apps, Microsoft 365 Defender i Microsoft Defender for Endpoint. Dzięki nim firma była w stanie wykryć złośliwe wiadomości e-mail i działania związane z kradzieżą tożsamości, alerty o zdarzeniach dotyczących tożsamości, zdarzenia związane z dostępem do danych dotyczących tożsamości, alerty i zdarzenia związane z atakami oraz korelację między produktami.
Gigant z Redmond dodatkowo ostrzega, jak poważne są obecnie ataki phishingowe. Mianowicie padnięcie ofiarą e-maila będącego przynętą przekłada się na średni czas dostępu atakującego do prywatnych danych ofiary wynoszący zaledwie 1 godzinę i 12 minut. Podobnie po uzyskaniu dostępu do poufnych informacji przeciętny czas potrzebny przestępcy na przemieszczenie się w poprzek sieci korporacyjnej ofiary zajmie tylko kolejne 30 minut. Microsoft ostrzegł też przed licznymi stronami phishingowymi udającymi strony logowania Microsoft 365. Według raportu osoby atakujące próbują skopiować sposób logowania typowy dla Microsoft, tworząc niestandardowe adresy URL dla każdego odbiorcy lub celu.
Adres URL strony phishingowej może wskazywać na złośliwą domenę, jednak parametr w adresie może przykładowo zawierać adres e-mail konkretnego odbiorcy. Aby się uwiarygodnić, strona może wstępnie wypełnić dane logowania użytkownika i umieścić logo firmy dostosowane do odbiorcy wiadomości e-mail, odzwierciedlając wygląd niestandardowej strony logowania do Microsoft 365 w danej firmie. Warto też zachować ostrożność, gdy wiadomości dotyczą atrakcyjnych, kontrowersyjnych bądź głośnych spraw, takich jak COVID-19, wojna w Ukrainie, śmierć królowej Elżbiety II czy nawet normalizacja pracy zdalnej. Wyobraźnia atakujących i sięganie po gorące tematy ("real-time") są praktycznie nieograniczone.
Microsoft Digital Defense Report 2022 (PDF) można w całości pobrać z serwera Microsoft.
341f31d.png)