Microsoft cảnh báo về chiến dịch lừa đảo nhắm tới người dùng Outlook Web App và Office 365

Các chuyên gia bảo mật Microsoft vừa đưa ra cảnh báo quan trọng về một hoạt động lừa đảo đang diễn ra trên quy mô lớn, nhắm tới các dịch vụ Outlook Web App (OWA) và Office 365.

Theo thống kê sơ bộ từ cuối tháng 12/2020 đến nay, đã có hơn 400.000 thông tin đăng nhập của người dùng OWA và Office 365 trên toàn thế giới bị đánh cắp. Ngoài ra, có nhiều dấu hiệu cho thấy chiến dịch độc hại này đang tiếp tục mở rộng quy mô cũng như mức độ tinh vi nhằm lạm dụng các dịch vụ hợp pháp mới, mục đích cuối cùng là vượt qua các cổng email an toàn (Secure Email Gateways - SEGs).

Các cuộc tấn công mới được ghi nhận gần đây trên thực tế là một phần của chuỗi các chiến dịch phishing được gọi chung là "Compact" Campaign, vốn đã diễn ra kể từ đầu năm 2020.

"Những kẻ lừa đảo tiếp tục thành công trong việc sử dụng tài khoản bị xâm nhập trên các dịch vụ tiếp thị qua email, sau đó sử dụng những tài khoản này để gửi email độc hại từ các miền và dải IP hợp pháp", các chuyên gia bảo mật của Microsoft cho biết. "Chúng đã tận dụng các cài đặt cấu hình hợp pháp để đảm bảo có thể gửi đi email độc hại, qua mặt những giải pháp phát hiện email lừa đảo”.

Qua mặt SEGs

Những kẻ tấn công đứng sau chiến dịch lừa đảo này đã đánh cắp được hơn 400.000 thông tin đăng nhập Office 365 và Outlook Web Access kể từ tháng 12 năm ngoái. Email lừa đảo của chúng được ngụy trang dưới dạng thông báo từ các dịch vụ hội nghị truyền hình, giải pháp bảo mật khác nhau, cũng như các giải pháp hỗ trợ công việc để tăng thêm tính hợp pháp.

Bên cạnh đó, hacker cũng đã sử dụng chính những tài khoản bị xâm nhập cho các dịch vụ gửi email SendGrid và MailGun, tận dụng các cổng email an toàn để hợp pháp hóa hoạt động độc hại, khiến chúng được liệt kê là miền đáng tin cậy. Điều này cho phép một lượng lớn email lừa đảo có thể vượt qua hàng rào bảo mật SEG và đi tới hộp thư đến của mục tiêu.

Khi nạn nhân nhấp vào các link được nhúng trong email độc hại, họ sẽ lập tức bị chuyển hướng đến các trang đích lừa đảo, được thiết kế để mạo danh các trang đăng nhập của Microsoft.

"Vào tháng 12/2020, trang đích độc hại trong chiến dịch này đã mạo danh dịch vụ Outlook Web App để lừa mục tiêu nhập thông tin đăng nhập của họ. Sang tháng 1/2021, trang đích giả mạo này lại tiếp tục thay đổi, mạo danh trang web đăng nhập của Office 365 nhằm đánh cắp thông tin đăng nhập của người dùng dịch vụ này”, báo cáo từ WMC Global chỉ ra.

Theo quan sát của các chuyên gia bảo mật, hoạt động lừa đảo này đang có dấu hiệu gia tăng, bởi kẻ lừa đảo hiện cũng lạm dụng cả dịch vụ Simple Email Service của Amazon (SES) và nền tảng điện toán đám mây Appspot (được sử dụng để phát triển và lưu trữ các ứng dụng web trong các trung tâm dữ liệu do Google quản lý) để gửi email lừa đảo và tạo nhiều URL mạo danh nhắm tới từng mục tiêu.