V minulém dílu jsem psal, jak jsou vedeny vícefázové útoky na uživatele mající svou poštu umístěnou v cloudu O365.

V dnešním dílu se podíváme, jak jsou zneužívány EML přílohy, cloud, obrázky a automatická pravidla k zajištění přístupu k e-mailům i po případné změně hesla ze strany uživatele.

V poslední době lze zaznamenat zvýšený počet útoků na zaměstnance organizací, které svou komunikaci přesunuly do O365.

Ostatně Microsoft se stal díky O365 nejoblíbenější značkou mezi útočníky, kteří sázejí na phishing, a není se čemu divit, když počet firem a uživatelů v O365 roste raketovým tempem a útočník pak může ze zkompromitovaného účtu zaútočit prakticky na kohokoliv.

Lze jej velice obtížně detekovat, protože pokud je správně proveden, tak e-mail přichází od osoby, kterou dotyčný zná a od níž odpověď očekává.

Ne vždy se však útočníkovi podaří hacknout e-mailový účet odesílatele, a realizovat útok, tak jak byl popsán zde, a musí proto podvrhnout adresu odesílatele, čímž šance na odhalení roste. Ovšem moc se neradujte.

Zatímco pro tradiční phishing je typické rozeslání obrovského množství mailů, často i na špatné adresy, tak v případě spear phishingu je tomu přesně naopak.

Útočník v takovém případě zašle e-mail konkrétní osobě, zpravidla zaměstnanci na určité pozici nebo vysoce postavenému manažerovi dané společnosti. Takový mail adresovaný konkrétní osobě může být těžko zachycen nějakým antiphishingovým filtrem, především proto, že se nevyskytuje ve větším množství a nevykazuje ani žádné znaky typické pro phishing mail. Rozuměj, adresa odesílatele, ani adresa SMTP serveru se nenachází na žádném blacklistu a z mailu nevedou žádné odkazy do internetu.