Gli account Office 365 aziendali e corporate sono sotto attacco: lo riporta i laboratori Skyhigh, i quali indicano che hanno rilevato oltre 100 mila tentati login (falliti) da 67 IP diversi verso 48 account Office 365. Gli account presi di mira sono di impiegati/dirigenti di alto livello ma anche di utenze tecniche, di automazione o di marketing, scegliendo tra un target di piccole aziende, ma vediamo alcuni dettagli tecnici.
Come riporta Skyhigh l’attacco è stato eseguito usando una botnet di piccole dimensioni e lanciando una piccola serie di attacchi brute-force (da 3 a 5) per non esser bloccati dalle protezioni di rilevamento attacchi forza bruta, quindi dopo aver acquisito una serie di nomi utente e password (legati a diversi servizi cloud), vengono tentati attacchi di propagazione verso altre caselle email, creando dalla stessa email messaggi di phishing.
Per gli amministratori di rete e di servizi è utile controllare le email ricevute da account tecnici e di servizio e di controllare i tentativi di accesso, per verificare non vi siano troppi accessi falliti da IP sconosciuti.
Certnazionale ha pubblicato un avvertimento relativo questo attacco, riportiamo in aggiunta alcuni collegamenti utili a verificare lo stato dei nostri account Office 365:
Eseguire ricerche nel log di controllo nel Centro sicurezza e conformità di Office 365
How to see the IP addresses from where your Office 365 users are accessing their mailbox
Approfondimenti:
Skyhigh Discovers Super Sneaky Brute Force Attack on High-Value O365 Accounts