Μια νέα, εξαιρετικά επικίνδυνη εξέλιξη στο ηλεκτρονικό «ψάρεμα» (phishing) ανατρέπει όσα γνωρίζαμε μέχρι σήμερα για την ψηφιακή μας ασφάλεια. Ενώ παραδοσιακά η πρώτη γραμμή άμυνας ήταν ο έλεγχος του αποστολέα, χάκερ βρήκαν τον τρόπο να στέλνουν κακόβουλα μηνύματα χρησιμοποιώντας τους επίσημους, νόμιμους διακομιστές της ίδιας της Microsoft.
Το «τέλειο» Phishing
Σύμφωνα με πρόσφατες αναφορές από ειδικούς κυβερνοασφάλειας, βρίσκεται σε εξέλιξη μια μαζική εκστρατεία όπου τα email που λαμβάνουν τα θύματα δεν προέρχονται από κάποιο ύποπτο domain τύπου «micro-soft-support.xyz», αλλά από αυθεντικές διευθύνσεις της εταιρείας, όπως το no-reply-powerbi@microsoft.com ή παρόμοια υποσύνολα του microsoft.com.
Αυτό σημαίνει ότι τα μηνύματα αυτά περνούν με επιτυχία όλους τους τεχνικούς ελέγχους αυθεντικότητας (SPF, DKIM, DMARC) που χρησιμοποιούν τα φίλτρα spam. Το email «χτυπάει» στο inbox σας ως απολύτως έγκυρο, γιατί τεχνικά... είναι.
Πώς λειτουργεί η παγίδα
Οι επιτήδειοι εκμεταλλεύονται νόμιμες λειτουργίες των υπηρεσιών cloud της Microsoft, και συγκεκριμένα εργαλεία όπως το Microsoft Power BI ή τα συστήματα ειδοποιήσεων του Microsoft 365. Η μεθοδολογία είναι απλή αλλά ιδιοφυής:
- Ο απατεώνας δημιουργεί έναν λογαριασμό ή χρησιμοποιεί μια παραβιασμένη πρόσβαση σε μια υπηρεσία της Microsoft.
- Προσθέτει το email του θύματος σε μια λίστα παραληπτών, χρησιμοποιώντας τη λειτουργία «κοινής χρήσης» (share) ή ειδοποίησης της πλατφόρμας.
- Μέσα στο πεδίο του μηνύματος που επιτρέπει η πλατφόρμα, ο χάκερ γράφει το δικό του κείμενο. Συνήθως πρόκειται για πλαστά τιμολόγια (π.χ. «Χρεωθήκατε $500 για συνδρομή Norton/PayPal») ή ειδοποιήσεις ασφαλείας.
- Η ίδια η Microsoft στέλνει την ειδοποίηση στο θύμα. Το email περιέχει το λογότυπο της Microsoft, προέρχεται από επίσημο server, αλλά το περιεχόμενο περιλαμβάνει τηλεφωνικούς αριθμούς απάτης ή συνδέσμους που οδηγούν σε κακόβουλο λογισμικό.
Γιατί είναι τόσο επικίνδυνο
Το κύριο πρόβλημα εντοπίζεται στην ψυχολογία του χρήστη. Επί χρόνια, οι ειδικοί ασφαλείας εκπαίδευαν το κοινό να κοιτάζει προσεκτικά τη διεύθυνση αποστολέα. Όταν ένας χρήστης βλέπει ότι το email προέρχεται από το @microsoft.com, οι άμυνές του πέφτουν.
Επιπλέον, επειδή τα email αυτά προέρχονται από έμπιστη πηγή, παρακάμπτουν συχνά τους φακέλους ανεπιθύμητης αλληλογραφίας (Junk) και εμφανίζονται στα «Εισερχόμενα» με σήμανση προτεραιότητας, αυξάνοντας την πιθανότητα το θύμα να αλληλεπιδράσει με το περιεχόμενο.
Η στροφή στις τακτικές "Living off the Land"
Η επίθεση αυτή εντάσσεται σε μια ευρύτερη κατηγορία που ονομάζεται "Living off the Land" (LotL). Οι επιτιθέμενοι, αντί να δημιουργούν δικά τους εργαλεία που εντοπίζονται εύκολα από τα antivirus, χρησιμοποιούν τα ίδια τα εργαλεία διαχείρισης του συστήματος εναντίον του. Στην προκειμένη περίπτωση, το «όπλο» είναι η ίδια η υποδομή αλληλογραφίας της Microsoft.
Τα σενάρια που χρησιμοποιούνται ποικίλλουν: από ψεύτικες ειδοποιήσεις καραντίνας αρχείων μέχρι ειδοποιήσεις για λήξη κωδικών πρόσβασης. Ο κοινός παρανομαστής είναι η προτροπή να καλέσετε έναν αριθμό τηλεφώνου (vishing) ή να κάνετε κλικ σε έναν σύνδεσμο για να «ακυρώσετε» μια συναλλαγή.
Πώς να προστατευτείτε
Με τα φίλτρα spam να είναι πλέον αναποτελεσματικά απέναντι σε αυτή τη συγκεκριμένη απειλή, η ευθύνη πέφτει στον ανθρώπινο παράγοντα.
- Αγνοήστε τον Αποστολέα, Ελέγξτε το Πλαίσιο: Το ότι ένα email ήρθε από τη Microsoft, δεν σημαίνει ότι το έγραψε υπάλληλος της Microsoft. Αν το κείμενο μιλάει για χρέωση υπηρεσίας τρίτου (π.χ. Amazon, PayPal) μέσα από ειδοποίηση της Microsoft, είναι σχεδόν σίγουρα απάτη.
- Μην καλείτε τηλεφωνικούς αριθμούς: Οι τεχνολογικοί κολοσσοί σπάνια, έως ποτέ, δεν ζητούν από τους χρήστες να καλέσουν σε τηλεφωνικό κέντρο για ακύρωση χρέωσης.
- Προσοχή στα ορθογραφικά: Παρόλο που το template του email είναι επίσημο, το κείμενο που έχει εισάγει ο χάκερ συχνά περιέχει συντακτικά λάθη ή περίεργη διατύπωση.
- Διασταύρωση: Αν λάβετε ειδοποίηση για χρέωση, μην κάνετε κλικ πουθενά. Ανοίξτε τον browser, μπείτε στον επίσημο λογαριασμό σας (της τράπεζας ή της υπηρεσίας) και ελέγξτε τις κινήσεις σας από εκεί.
Η κοινότητα της κυβερνοασφάλειας περιμένει από τη Microsoft να εφαρμόσει αυστηρότερους ελέγχους στο τι περιεχόμενο επιτρέπεται να εισαχθεί στις ειδοποιήσεις των υπηρεσιών της, όμως μέχρι τότε, η καχυποψία παραμένει ο καλύτερος σύμβουλος.
