Varo Azuresta tulevia kalasteluita!
Tietoturva Nyt!
Office 365 -käyttäjien tunnuksia kalastellaan myös väärinkäyttäen Microsoftin omaa Azure-pilvipalvelua. Näitä kalasteluita on erityisen vaikeaa tunnistaa, ja ylläpidon kannattaa pyrkiä suodattamaan kalasteluviestejä sisältöperusteisesti.
Rikolliset kalastelevat Office 365 -käyttäjien tunnuksia edelleen aktiivisesti, ja vastaanottamiemme ilmoitusten perusteella Azuren palveluiden käyttö kalastelusivustojen alustana nostaa jälleen päätään. Microsoft tarjoaa Azure Blob Storage -tuotteen kautta yksinkertaisia verkkosivuja asiakkailleen, ja pahansuovat tahot väärinkäyttävät näitä palveluita ihmisten huijaamisessa.
Kalastelusivustojen tunnistaminen on erityisen vaikeaa, koska selaimessa näkyvä kirjautumisosoite päättyy aina joko "blob.core.windows.net" tai sitten "web.core.windows.net", ja sivustolla oleva sertifikaatti kuuluu Microsoftille. Ainoa keino käyttäjän kannalta on havaita osoitteen olevan väärä suhteessa aitoon sivuston osoitteeseen, mutta tämä vaatii syvällistä tietämystä pilvipalveluiden toiminnasta. Kalastelusivuille ohjaavat sähköpostit saattavat myös tulla suoraan Azuresta, jolloin postiketjukin näyttää olevan aidosti Microsoftilta tuleva. Kalasteluviestien sisältö on yleensä geneerinen salasanan uusimispyyntö tai vastaava. Käyttäjille kannattaa opettaa, että kirjautumisosoite oikeaan Office 365 -palveluun on aina joko osoitteessa https://login.microsoftonline.com (Ulkoinen linkki) tai yrityksen omalla federointipalvelimella. Tätä kannattaa painottaa ja terävöittää materiaalissa, ja kouluttaa käyttäjät tunnistamaan oikea kirjautumisosoite väärästä.
Suojautumisen kannalta aiheesta on julkaistu kaksi toisiinsa viittaavaa blogikirjoitusta, joissa käsitellään viesteiltä suojautumista. Suosittelemme vahvasti rajoittamaan ja pilvipalvelua hälyttämään saapuvasta sähköpostiliikenteestä, jos viestin aihe- tai runko-osassa (subject or body) on mainittu web.core.windows.net tai blob.core.windows.net. Linkit kirjoituksiin löytyvät alta.
Suosittelemme vahvasti, että Office 365:ä käyttävät organisaatiot ottavat käyttöön käyttäjien monivaiheisen tunnistamisen (MFA, 2FA) ja luopuvat vanhentuneiden kirjautumismenetelmien hyväksymisestä (legacy authentication). Nämä toimenpiteet suojaavat monilla tavoilla tehdyiltä huijausyrityksiltä ja varastettujen käyttäjätunnusten hyväksikäytöltä. Aiheesta löytyy lisäluettavaa vastikään julkaistusta oppaastamme, jonka julkaisu-uutisen linkki on alla.
Esimerkkikuvat kahdesta kalastelusivusta sekä toisen sivun varmenteesta ovat alla.
Lisätietoja
- Simple Rules to Protect Against Spoofed & windows.net Phishing Attacks (Ulkoinen linkki)
- Office 365 Custom Rules to Block Azure Blob Storage Phishing Attacks (Ulkoinen linkki)
- Organisaatio! Torju Office 365 -tunnusten kalastelu oppaamme avulla (Ulkoinen linkki)
- TTN: Aktiivista kalastelua ja tietomurtoja (Ulkoinen linkki)