Измама със заявка за нулиране на парола за Office 365

Измамническите имейли, обозначени като „Заявка за нулиране на парола за Office 365“, са вид фишинг, предназначен да подведе получателите да предоставят идентификационни данни за Microsoft 365. Те изглеждат като легитимна помощ за нулиране на парола, но са изцяло фалшиви. Тези съобщения не са свързани с Microsoft, Microsoft 365 или друг легитимен доставчик на услуги – те са престъпни опити за събиране на данни за вход с цел измама, кражба на самоличност, компрометиране на мрежата и разпространение на зловреден софтуер.

Как изглежда измамата

Нападателите изпращат имейли, които се представят за известия за нулиране на парола за Microsoft 365. Често срещана тема е „НЕРЕШЕНО ПЛАЩАНЕ“ (точният текст може да варира). Текстът на писмото се преструва, че предлага стъпки за нулиране на паролата за вашия акаунт в Microsoft и обикновено включва връзка към страница за вход, която визуално имитира официалния екран за вход в Microsoft 365. Тази фалшива страница е формуляр за събиране на данни: каквото и да въведете, отива директно при измамниците.

Как работят фалшивият сайт и събирането на идентификационни данни

Фалшивата уеб страница е умишлено оформена така, че да изглежда автентична, така че потребителите да въвеждат потребителското си име и парола. След въвеждане, идентификационните данни се записват и предават на нападателите. С тези идентификационни данни престъпниците могат да влязат в реалния акаунт, да променят настройките, да четат или препращат имейли и да имат достъп до всяка услуга, свързана с този акаунт (облачно съхранение, корпоративни ресурси, финансови услуги, социални медии и др.).

Истинските вреди — отвъд кражбата на един-единствен вход

Компрометираните акаунти в Microsoft 365 са привлекателни, защото често предоставят достъп до корпоративни ресурси. Последиците включват:

• странично движение в рамките на фирмените мрежи (водещо до внедряване на зловреден софтуер — троянски коне, ransomware),
• кражба на данни и разкриване на поверителни файлове,
• поемане на контрол над акаунти за финансови измами, заявки за дарения/заеми с използване на вашата самоличност и
• по-нататъшно разпространение на фишинг или зловреден софтуер чрез изпращане на злонамерени имейли от надежден адрес.

Предупредителни знаци, за които да следите

• Неочаквани или неясни теми, като например „НЕРЕШЕН ПЛАЩАНЕ“ или подобен текст.
• Нецензурен език, който ви притиска да кликнете върху връзка или да рестартирате веднага.
• Адресът на подателя или адресът за отговор не съответства на официалните домейни на Microsoft.
• Връзки, които водят към домейни, различни от домейни на Microsoft (задръжте курсора на мишката, за да ги проверите).

• Страници за вход с малки визуални несъответствия – правописни грешки, странни шрифтове или URL адреси, които не съответстват на login.microsoft.com.

• Прикачени файлове или връзки към непознати файлове или компресирани архиви.

Какво да направите, ако сте въвели идентификационни данни или подозирате компрометиране

Променете паролата за засегнатия акаунт в Microsoft 365 незабавно и за всички акаунти, които са използвали същата парола.

Свържете се с официалната поддръжка на въпросната(ите) услуга(и) (използвайте телефон/уебсайт, за който знаете, че е легитимен) и ги информирайте за компрометирането; активирайте многофакторно удостоверяване (MFA), ако вече не е активно.

Как спам кампаниите разпространяват зловреден софтуер

Спамът не е просто кражба на идентификационни данни — той е и често срещан вектор за злонамерен софтуер. Кампаниите прикачват или свързват злонамерени файлове (RAR/ZIP архиви, EXE, RUN), Office документи, които изискват активиране на макроси, OneNote файлове с вградени връзки, JavaScript файлове, PDF файлове и други подобни. Някои файлове се изпълняват незабавно при отваряне; други изискват потребителят да активира съдържанието или да щракне върху вградени връзки, за да стартира веригата на заразяване.

Заключителни думи

Тези имейли с „Заявка за нулиране на парола за Office 365“ са измамни и не са свързани с Microsoft, Microsoft 365 или друг легитимен доставчик на услуги. Ако получите такъв, не кликвайте върху връзки и не въвеждайте идентификационни данни; третирайте го като инцидент със сигурността и следвайте стъпките за незабавни действия по-горе.