СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ

Фишинг через Microsoft 365: злоупотребление login.microsoftonline.com

Недавние сообщения подтверждают: злоумышленники начали активно злоупотреблять страницей входа Microsoft, используя её для перенаправления жертв на фишинговые сайты. Во время презентации на DEFCON33 исследователь Киану Найс показал, как с помощью login.microsoftonline.com можно организовать доверительную «оболочку» для мошеннических перенаправлений — и эта схема уже наблюдается в реальных атаках.

Суть инцидента

В описанном клиентском случае пользователи получали фишинговые письма со ссылками, которые вели сначала на рабочий домен Cloudflare, настроенный как URL-redirect, а затем — на фишинговый сайт. На этапе перехода злоумышленники использовали показ CAPTCHA через легитимный рабочий домен, что дополнительно повышало доверие жертв и снижало вероятность их настороженности.

Во время DEFCON33 Киану Найс продемонстрировал, что с помощью login.microsoftonline.com злоумышленники могут перенаправлять ничего не подозревающих пользователей на вредоносные ресурсы.

Как работает атака (по шагам)

  • Атакующий создаёт мультитенантное приложение в среде Microsoft 365.
  • В настройках приложения указываются URI перенаправления, ведущие напрямую на фишинговый сайт.
  • Жертве отправляют фишинговое письмо со ссылкой, которая сначала открывает рабочий домен (например, Cloudflare), настроенный как редирект.
  • Через этот рабочий домен отображается CAPTCHA или иные стороние элементы доверия.
  • После подтверждения жертва перенаправляется на фишинговую страницу и вводит учётные данные или иные конфиденциальные данные.

Репликация такой атаки относительно проста: достаточно зарегистрировать приложение в Microsoft 365 и правильно настроить redirect URI. Именно простота и опора на легитимные домены делает этот механизм опасным.

Почему это представляет угрозу

  • Использование официальных доменов (например, login.microsoftonline.com и рабочих доменов типа Cloudflare) повышает доверие у пользователей и уменьшает срабатывание многих фильтров.
  • Показ CAPTCHA и других «внешних» проверок создаёт иллюзию легитимности.
  • Атака эксплуатирует встроенные механизмы OAuth/redirect, что позволяет обходить простые проверки на поддельные страницы.
  • Метод легко масштабируется и воспроизводим в разных арендаторах (tenants).

Предшествующие инциденты и контекст

Подобные приёмы не новы. В 2021 году Proofpoint уже описывала аналогичные тактики перенаправления на фишинговые ресурсы через легитимные сервисы. Позже аналитики Push Security обнаружили варианты, связанные с ADFS и злоупотреблениями правами приложений для реализации перенаправлений. Всё это указывает на устоявшуюся и эволюционирующую практику использования доверенных доменов в фишинговых кампаниях.

Рекомендации для организаций

  • Ограничьте возможность регистрации приложений в вашем tenant: разрешайте создание только администраторам или доверенным лицам.
  • Включите строгие политики согласия приложений (Application Consent Policies) и контролируйте разрешения, запрашиваемые приложениями.
  • Мониторьте и анализируйте новые redirect URI и подозрительную активность при регистрации приложений.
  • Применяйте Conditional Access и многофакторную аутентификацию (MFA); рассмотрите более строгие требования для входов после перенаправлений.
  • Настройте правила блокировки/фильтрации для известных механизмов редиректа и подозрительных рабочих доменов.
  • Инструментально отслеживайте аномалии входов (необычные IP, impossible travel, новые устройства) и реагируйте оперативно.
  • Проводите регулярное обучение сотрудников: демонстрируйте примеры атак с легитимными доменами и объясняйте признаки фишинга.

Рекомендации для пользователей

  • Перед вводом учётных данных проверьте URL и источник перехода; будьте внимательны при перенаправлениях.
  • Не доверяйте автоматически CAPTCHA или другим «подтверждениям» как признаку безопасности.
  • Наводите курсор на ссылку, чтобы увидеть реальный адрес перед переходом.
  • Используйте аппаратные ключи или passkeys там, где это возможно — они сложнее для перехвата фишингом.
  • Сообщайте в IT-службу о подозрительных письмах и подозрительных запросах на вход через сторонние страницы.

Вывод

Атака, использующая login.microsoftonline.com и рабочие домены вроде Cloudflare для маскировки фишинга, демонстрирует устойчивую тенденцию злоумышленников — эксплуатацию доверенной инфраструктуры для повышения успеха мошенничества. Организациям и пользователям следует усилить контроль за регистрацией приложений, мониторинг входов и обучение персонала. Только комплексный подход и оперативная защита помогут снизить риск подобных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: