Мошенничество с запросом на сброс пароля Office 365

Мошеннические письма с пометкой «Запрос на сброс пароля Office 365» — это разновидность фишинга, предназначенная для того, чтобы обманным путём заставить получателей предоставить учётные данные Microsoft 365. Они выглядят как настоящие письма с просьбой о помощи в сбросе пароля, но на самом деле являются подделкой. Эти сообщения не связаны с Microsoft, Microsoft 365 или каким-либо законным поставщиком услуг — это преступные попытки получить данные для входа в систему с целью мошенничества, кражи личных данных, взлома сети и распространения вредоносного ПО.

Как выглядит афера

Злоумышленники рассылают электронные письма, выдаваемые за уведомления о сбросе пароля Microsoft 365. Часто встречающаяся тема — «НЕРАЗРЕШЕННЫЙ ДЕНЕЖНЫЙ ПЕРЕВОД» (точная формулировка может отличаться). В тексте письма якобы предлагается инструкция по сбросу пароля вашей учётной записи Microsoft, и обычно содержится ссылка на страницу входа, визуально имитирующую официальный экран входа Microsoft 365. Эта поддельная страница представляет собой форму сбора данных: всё, что вы вводите, попадает прямо к мошенникам.

Как работает поддельный сайт и сбор учетных данных

Поддельная веб-страница намеренно выглядит подлинной, чтобы пользователи вводили имя пользователя и пароль. После ввода учётные данные регистрируются и передаются злоумышленникам. С помощью этих данных преступники могут войти в настоящую учётную запись, изменить настройки, читать или пересылать электронные письма, а также получить доступ к любым сервисам, привязанным к этой учётной записи (облачному хранилищу, корпоративным ресурсам, финансовым сервисам, социальным сетям и т. д.).

Реальный вред — за пределами кражи одного логина

Взломанные учётные записи Microsoft 365 привлекательны тем, что часто обеспечивают доступ к корпоративным ресурсам. Последствия включают:

• горизонтальное перемещение внутри корпоративных сетей (что приводит к развертыванию вредоносных программ — троянов, программ-вымогателей),
• кража данных и раскрытие конфиденциальных файлов,
• захват аккаунта с целью финансового мошенничества, запросов на пожертвования/кредиты с использованием вашей личности и
• дальнейшее распространение фишинга или вредоносного ПО путем отправки вредоносных писем с доверенного адреса.

Предупреждающие знаки, на которые следует обратить внимание

• Неожиданные или расплывчатые темы, например «НЕРАЗРЕШЕННЫЙ ПЕРЕВОД» или подобная формулировка.
• Настойчивый язык, который заставляет вас нажать на ссылку или выполнить сброс настроек прямо сейчас.
• Адрес отправителя или ответный адрес, не соответствующие официальным доменам Microsoft.
• Ссылки, ведущие на домены, не принадлежащие Microsoft (наведите курсор для просмотра).

• Страницы входа с небольшими визуальными несоответствиями — орфографическими ошибками, странными шрифтами или URL-адресами, не соответствующими login.microsoft.com.

• Вложения или ссылки на неизвестные файлы или сжатые архивы.

Что делать, если вы ввели учетные данные или подозреваете их компрометацию

Немедленно измените пароль для затронутой учетной записи Microsoft 365 и для всех учетных записей, использующих тот же пароль.

Обратитесь в официальную службу поддержки соответствующих служб (используйте номер телефона или веб-сайт, в подлинности которого вы уверены) и сообщите им о взломе; включите многофакторную аутентификацию (MFA), если она еще не активирована.

Как спам-кампании распространяют вредоносное ПО

Спам — это не просто кража учётных данных, но и распространённый вектор распространения вредоносного ПО. В рассылках используются вложения или ссылки на вредоносные файлы (архивы RAR/ZIP, EXE, RUN), документы Office, требующие включения макросов, файлы OneNote со встроенными ссылками, файлы JavaScript, PDF-файлы и т.п. Некоторые файлы запускаются сразу после открытия; другие требуют от пользователя включения содержимого или перехода по встроенным ссылкам для запуска цепочки заражения.

Заключительные слова

Эти электронные письма с запросом на сброс пароля Office 365 являются мошенническими и не связаны с Microsoft, Microsoft 365 или каким-либо законным поставщиком услуг. Если вы получили такое письмо, не переходите по ссылкам и не вводите учётные данные; расценивайте его как инцидент безопасности и немедленно выполните указанные выше действия.