Reglas personalizadas de Office 365 para bloquear ataques de phishing

phishing

Los ataques de suplantación de identidad (phishing) que utilizan Azure Blob Storage de Microsoft para alojar sus páginas de destino para aprovechar las ventajas de los certificados SSL de Microsoft válidos de subdominios de windows.net se pueden bloquear fácilmente mediante las reglas personalizadas de Office 365.

Ha habido varias campañas de phishing en curso que abusan del Azure Blob Storage de Microsoft para atacar a los usuarios de Office 365, a veces usando páginas de inicio y formularios de inicio de sesión que se parecen casi exactamente a las páginas oficiales de Microsoft.

El hecho de que estén utilizando Azure Blob Storage para alojar sus páginas de inicio de phishing con credenciales (dirigidas a Outlook y cuentas de Microsoft) hace que estas campañas de phishing sean mucho más peligrosas.

Esto sucede porque la URL que se muestra en la barra de direcciones sería muy similar a https://1drive6e1lj8tcmteh5m.z6.web.core.windows [.] Net , con la parte web.core.windows.net siempre presente, haciendo que el ataque Mirar legítimo a los ojos de la mayoría de las víctimas potenciales.

El uso de la plataforma Azure Blob Storage de Microsoft para apuntar a los usuarios de Microsoft y Outlook es el uso perfecto, dado que cada una de las páginas de destino empleadas en la campaña obtendrá automáticamente su propio candado de página segura en la barra de direcciones debido a los * .blob.core.windows. certificado SSL del comodín neto.

De esta manera, incluso los objetivos sospechosos pueden ser engañados al final después de hacer clic en el certificado y ver que efectivamente es emitido por Microsoft IT TLS CA 5 a * .blob.core.windows.net, validando la página de inicio de phishing como un inicio de sesión oficial de Microsoft Forma ante los ojos de muchas posibles víctimas.

Creación de reglas de bloqueo personalizadas de Office 365

Si bien este problema se informó anteriormente a Microsoft en el pasado, el investigador de malware de MinervaLabs, Omri Segev Moyal, dijo que estos mensajes de phishing serán bloqueados por el servicio de seguridad premium de Microsoft Office365 'Office 365 ATP Safe Links', pero "no harán nada por eliminarlos". abajo."

Sin embargo, el investigador dice que los usuarios de Office 365 que desean bloquear este tipo de ataques de phishing automáticamente pueden crear sus propias reglas personalizadas.

Moyal proporciona un procedimiento detallado sobre cómo crear reglas de Office 365 diseñadas para bloquear los ataques de phishing que emplean páginas de destino convincentes que hacen que el uso de Azure Blob Storage parezca legítimo:

  • Vaya al Centro de administración de Exchange de Office365.
  • Vaya a Flujo de correo -> Reglas, luego haga clic en el signo '+' y cree una nueva regla.
  • En la sección Nueva Regla, haga click

También puede agregar reglas diseñadas para alertar a los usuarios de Office 365 de que los correos electrónicos que reciben contienen enlaces a dominios de windows.net , lo que podría ser un signo de un posible correo electrónico de phishing.

Para hacerlo, solo tiene que repetir todos los pasos descritos anteriormente para crear una nueva regla de Office 365 y, en el último paso, debe personalizar la regla como se muestra en la siguiente captura de pantalla: alerta de windows.net

Si bien el consejo estándar para los usuarios que desean detectar cuándo son el objetivo de un ataque de phishing es mirar detenidamente la URL de cualquier formulario de inicio de sesión que se les pide que rellenen, las campañas de phishing que emplean Azure Blob Storage hacen que esta parte de Consejos casi sin valor.

La única forma de asegurarse de que los atacantes no intenten recopilar sus credenciales de Microsoft o Outlook.com es recordar que los formularios de inicio de sesión oficiales serán alojados por Microsoft utilizando los dominios microsoft.com, live.com o outlook.com.

Fecha actualización el 2021-04-22. Fecha publicación el 2019-04-22. Categoría: phishing Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil