Attackers leverage Microsoft Dynamics 365 to phish users
2022/11/04 HelpNetSecurity — Microsoft Dynamics 365 の Customer Voice を悪用する脅威アクターたちが、メール・フィルターを回避し、Microsoft ユーザーの受信トレイにフィッシング・メールを配信していると、Avanan の研究者たちが警告している。
攻撃の内容
Microsoft Dynamics 365 は、ERP (Enterprise Resource Planning) と、CRM (Customer Relationship Management) のためのアプリケーション・スイートである。そして、Dynamics 365 を構成するアプリケーションの1つである Customer Voiceは、アンケートや電話などを通じて顧客からのデータ/フィードバックを収集するために使用されている。
この Microsoft Dynamics 365 Customer Voice のアカウントを介して、ボイスメールの受信を通知するフィッシング・メールが、脅威アクターたちから送信されている。
Avanan のサイバー・セキュリティ研究者である Jeremy Fuchs は、「エンド・ユーザーから見ると、顧客からの重要なボイスメールのように受け取られるため、クリックするのは自然な流れだ」と説明している。
脅威アクターから送られたメール内のリンクは、Microsoft の正規のカスタマー・ボイスへのリンクだ。Microsoft の正規のページが表示されているため、メール・フィルターやセキュリティ・スキャナーは、このメールが正規のものだと判断し、ユーザーの受信トレイへの着信を許可してしまう。
しかし、このページに含まれる “Play Voicemail” ボタンをクリックすると、ユーザーは Microsoft を装う偽のログイン・ページへとリダイレクトされる。ただし、注意深いユーザーであれば、そのときに表示されるフィッシン・グページの URL が、Microsoft とは何の関係もないことに気づくだろう。
脅威アクターは、信頼できるサービスを悪用することが多い
Fuchs は、「ハッカーたちは、私たちが Static Expressway と呼んでいる手法を用いて、エンド・ユーザーへの侵入を試みる。つまり、正規のサイトを利用して、セキュリティ・スキャナーを突破する手法だ。セキュリティ・サービスは、Microsoft を完全にブロックすることはできない。そして、信頼できるソースからのリンクは、自動的に信頼される傾向にある。そのため、ハッカーが入り込む道ができてしまったのだ」と付け加えている。
脅威アクターたちは、同じ様は手口で、Facebook Ads/QuickBooks/Lucidchart/Adobe Cloud などの、多数の合法的なサービスを悪用することで知られている。
なんというか、いたる所にフィッシングありとういう感じですね。つい先日にポストした、「Instagram ユーザーを狙う新手のフィッシング:著作権違反を示唆する通知に要注意」も似たような感じなので、これも Static Expressway の一種なのでしょう。よろしければ、カテゴリ Scammer を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.