Пользователи популярных облачных сервисов Office 365 и G Suite часто подвергаются атакам хакеров, а их данные похищают путем обхода двухфакторной аутентификации через использование протокола IMAP.

На это в отчете указали специалисты компании по защите данных Proofpoint.

В отчете сказано, что злоумышленники используют протокол IMAP для того, чтобы обойти двухфакторную аутентификацию, проникнуть в сети компаний, а потом использовать полученный доступ для различных фишинговых операций или продолжения атак.

Чтобы получить доступ хакеры используют протокол IMAP для атак на подбор учетных данных пользователей, так называемых credential stuffing атак. Такие атаки предусматривают, что имена пользователей и пароли похищаются с одних сайтов, а затем используются против других.

Специалисты Proofpoint зафиксировали, что атаки против юзеров Office 365 и G Suite были на пике активности в период с сентября 2018 по февраль 2019 года. Тогда хакеры интересовались, в основном, аккаунтами руководителей и административного персонала крупных компаний.

За отчетный период атаки затронули около 2 % учетных записей указанных платформ.

Еще около 72 % пользователей сервисов подверглись как минимум одной такой атаке, и в 40 % случаев был обнаружен хотя бы один скомпрометированный аккаунт.

Таким образом, хакеры взламывали 15 профилей из каждых 10 тысяч.

Для взлома хакеры использовали IP-адреса Китая и Нигерии, 65 % и 26 %, соответственно.

карта

В тех случаях, когда хакеры получали личные данные и оказывалось, что у этого пользователя нет никакой ценной информации или финансовых средств, которые бы их заинтересовали, то такой профиль использовали для того, чтобы рассылать фишинговые послания. Рассылки производились как по внутренним адресам юзера, так и по внешним каналам.

В некоторых ситуациях хакеры меняли правила переадресации электронных писем, а иногда попросту устраивали man-in-the-middle атаки (вид атаки, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом, – ред.).

Ранее государственная служба специальной связи и защиты информации предупредила украинцев о новой фишинговой рассылке якобы от госучреждения.
В декабре 2018 года команда реагирования на компьютерные чрезвычайные события CERT-UA предупредила, что в Украине и мире продолжается распространение шифровальщика #Scarab через рассылки электронных писем.
Начальник Департамента киберполиции Сергей Демедюк заявил, что хакеры наращивают усилия по срыву президентских выборов в Украине, атакуя сервера украинской Центральной избирательной комиссии и компьютеры сотрудников ЦИК.