Команда Microsoft по анализу угроз (Threat Intelligence Team) недавно обнаружила, что злоумышленники всё чаще эксплуатируют сложные схемы пересылки электронной почты и неверно настроенные механизмы защиты от спуфинга доменов. Это позволяет им маскировать фишинговые сообщения так, будто они исходят от самих атакуемых организаций.
В ходе этих кампаний используются уязвимости в конфигурациях. В частности, это касается записей MX-DNS (Mail Exchanger), которые не направляют трафик напрямую в Microsoft 365, а также слишком слабых или некорректно настроенных политик DMARC (Domain-based Message Authentication, Reporting & Conformance) и SPF (Sender Policy Framework).
«Злоумышленники использовали этот вектор для рассылки множества фишинговых сообщений в рамках различных платформ Phishing-as-a-Service (PhaaS), таких как Tycoon 2FA», — говорится в заявлении Microsoft в блоге.
Технологический гигант отмечает, что, хотя этот вектор атаки не нов, его использование значительно возросло с середины 2025 года. Фишинговые приманки варьируются от запросов на сброс пароля до уведомлений о совместном использовании документов.
«Внутренняя» маршрутизация и слабые политики
Проблема заключается в том, как принимающие почтовые серверы интерпретируют входящие сообщения. Когда записи MX ведут к сложным путям пересылки почты — например, к локальным системам или сторонним промежуточным ретрансляционным серверам перед Microsoft 365 — стандартные проверки защиты от спуфинга, такие как SPF Hard-Fail и строгое применение DMARC, могут быть некорректно применены.
В таких случаях фишинговое письмо может прийти с собственным адресом получателя как в поле «Кому», так и в поле «От кого», представляя собой подделку, которая на первый взгляд выглядит как внутреннее сообщение. В ряде случаев злоумышленники дополнительно меняют отображаемое имя отправителя, чтобы сделать сообщение более убедительным, сохраняя при этом в поле «От кого» действительный внутренний адрес электронной почты.
В сочетании со слабыми или отсутствующими политиками DMARC и SPF такие письма способны обходить спам-фильтры и попадать прямо во входящие ящики пользователей.
«Фишинговые сообщения, отправленные через этот вектор, могут быть более эффективными, поскольку они выглядят как сообщения, отправленные изнутри организации», — подчеркивает Microsoft в своем сообщении. «Успешная компрометация учетных данных посредством фишинга может привести к краже данных или атакам типа Business Email Compromise (BEC) на пострадавшую компанию или её партнеров, что потребует масштабных мер по устранению последствий и/или повлечет финансовые потери в случае мошенничества».
Помимо сбора учетных данных, инфраструктура PhaaS может способствовать проведению атак типа Adversary-in-the-Middle (AiTM), при которых данные аутентификации перенаправляются в режиме реального времени, позволяя обойти даже многофакторную аутентификацию.
Помогают конфигурации для защиты
Microsoft настаивает, что правильная настройка механизмов аутентификации электронной почты является самой эффективной защитой от этого вектора спуфинга. Компаниям рекомендуется внедрять строгие политики DMARC с режимом Reject и принудительно применять SPF Hard-Fails, чтобы неаутентифицированные письма, якобы исходящие от их доменов, отклонялись или надежно помещались в карантин.
Кроме того, рекомендуется корректно настраивать все сторонние коннекторы, такие как спам-фильтры, архивные сервисы или устаревшие почтовые ретрансляторы. Это обеспечит консистентный расчет и применение проверок на спуфинг.
Клиенты, у которых записи MX напрямую указывают на Microsoft 365, не подвержены данной проблеме. Встроенные механизмы обнаружения спуфинга и фильтрации Microsoft предотвращают такие атаки и применяются по умолчанию. Для более сложных почтовых инфраструктур Microsoft предоставила специальные инструкции по правилам потока почты и процедурам аутентификации, чтобы снизить риски и блокировать поддельные письма до того, как они достигнут почтовых ящиков конечных пользователей.
Помимо исправлений в аутентификации электронной почты, Microsoft призывает компании усилить меры защиты идентификации от AiTM-фишинга — метода, при котором пароли обходятся путем перехвата аутентифицированных сессий. Среди рекомендуемых мер контроля — фишинг-устойчивая MFA, такая как ключи безопасности FIDO2, принудительное применение условного доступа и защитные механизмы вроде подтверждения номера MFA для минимизации последствий кражи токенов. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bayan-score: 0.865080118
Автор – Shweta Sharma
