Команда Microsoft по анализу угроз (Threat Intelligence) сообщила, что злоумышленники всё чаще используют сложные схемы маршрутизации электронной почты и некорректные настройки защиты от спуфинга, чтобы фишинговые сообщения выглядели так, будто они отправлены изнутри организаций, на которые нацелены атаки.
Эти кампании основаны на пробелах в конфигурации, в частности, на сценариях, когда записи DNS почтового обменника (MX) указывают не напрямую на Microsoft 365, а политики DMARC (Domain-based Message Authentication, Reporting & Conformance) и SPF (Sender Policy Framework) являются слишком разрешительными или настроены неверно.
«Злоумышленники использовали этот вектор для доставки разнообразных фишинговых сообщений, связанных с различными платформами фишинга как услуги (PhaaS), такими как Tycoon 2FA», — говорится в сообщении Microsoft в блоге по безопасности.
В блоге отмечается, что, хотя этот вектор атаки не нов, его эксплуатация значительно усилилась с середины 2025 года, доставляя фишинговые приманки, варьирующиеся от сброса пароля до обмена документами.
Виновата «внутренняя» маршрутизация и слабые политики
Проблема заключается в том, как принимающие почтовые серверы интерпретируют входящие сообщения. Когда записи MX ведут через сложные пути доставки, например, через локальные системы или сторонние ретрансляторы перед Microsoft 365, стандартные проверки защиты от спуфинга, такие как жёсткий отказ SPF (SPF hard-fail) и строгая политика DMARC, могут применяться некорректно.
В таких случаях фишинговое письмо может прийти с собственным адресом получателя как в полях «Кому», так и «От кого» — это поддельное сообщение, которое на первый взгляд выглядит внутренним. В некоторых случаях злоумышленники изменяют имя отправителя, чтобы сообщение выглядело более убедительным, при этом в поле «От кого» указывается действительный внутренний адрес электронной почты.
В сочетании с разрешительными или отсутствующими политиками DMARC и SPF эти сообщения могут обойти спам-фильтры и попасть прямо во входящие ящики пользователей.
«Фишинговые сообщения, отправленные через этот вектор, могут быть более эффективными, поскольку они выглядят как отправленные изнутри организации», — добавила Microsoft в блоге. «Успешный компрометации учётных данных посредством фишинговых атак может привести к краже данных или атакам вида компрометации деловой переписки (BEC) на затронутую организацию или её партнёров, потребовать значительных усилий по устранению последствий и/или привести к потере средств в случае финансовых мошенничеств».
Помимо сбора учётных данных, инфраструктура PhaaS может способствовать атакам типа «человек посередине» (Adversary-in-the-Middle, AiTM), которые перехватывают аутентификационную информацию в реальном времени и могут даже обойти защиту многофакторной аутентификации.
Ужесточение конфигураций может помочь
Данное раскрытие информации подчёркивает, что правильная настройка механизмов аутентификации почты является наиболее эффективной защитой от этого вектора спуфинга. Организациям рекомендуется внедрять строгие политики отклонения DMARC (reject) и применять жёсткий отказ SPF (enforce SPF hard fails), чтобы неаутентифицированная почта, выдающая себя за письма с их доменов, отклонялась или безопасно помещалась в карантин.
Кроме того, рекомендации включают обеспечение правильной настройки любых сторонних коннекторов, таких как спам-фильтры, сервисы архивирования или устаревшие почтовые ретрансляторы, чтобы проверки спуфинга могли рассчитываться и применяться последовательно.
Тенанты, у которых записи MX направлены непосредственно на Microsoft 365, не подвержены этой проблеме, поскольку нативные механизмы обнаружения спуфинга и фильтрации Microsoft применяются по умолчанию. Для более сложных почтовых инфраструктур Microsoft предоставила конкретные рекомендации по правилам обработки потока почты и методам аутентификации для снижения рисков и блокировки поддельных писем до того, как они достигнут почтовых ящиков конечных пользователей.
Помимо исправлений в аутентификации почты, Microsoft настоятельно рекомендовала организациям усилить защиту учётных записей от фишинга AiTM, который обходит пароли путём перехвата аутентифицированных сеансов. Рекомендуемые меры контроля включают устойчивую к фишингу многофакторную аутентификацию, такую как ключи безопасности FIDO2, принудительное применение условного доступа и защиту вроде сопоставления номеров MFA для ограничения последствий кражи токенов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 9/8
Bayan-score: 0.972349763
Автор – Shweta Sharma
