แคมเปญฟิชชิงที่ปลอมแปลงหน้าลงชื่อเข้าใช้ Microsoft 365

ATP Office 365 ได้เปิดเผยถึงข้อมูลแคมเปญฟิชชิงที่ผู้ไม่หวังดีเริ่มทำการปลอมแปลงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 รูปแบบใหม่หลังจาก Microsoft ได้ทำการอัปเดตหน้าลงชื่อเข้าใช้ใหม่ประมาณสามเดือนที่ผ่านมา

การปรับปรุงหน้าลงชื่อเข้าใช้ของ Microsoft นั้นต้องการลดความต้องการแบนด์วิดท์ที่จำเป็นสำหรับการโหลดหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365 และหวังให้ผู้ใช้เห็นความเเตกต่างจากเว็บไซต์ฟิชชิ่งที่ไม่ได้ทำการปรับปรุงหน้าชื่อเข้าใช้

เเต่จากการเปิดเผยข้อมูลของ ATP Office 365 นั้นพบว่าผู้โจมตีที่ได้ทำการปรับปรุงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 เป็นรูปแบบใหม่ด้วย นั้นทำให้ผู้โจมตีมีความน่าเชื่อถือมากขึ้น โดยทำให้ผู้โจมตีสามารถหลอกล่อเหยื่อให้การเปิดไฟล์ที่แนบและทำให้สามารถรีไดเร็คไปหน้า Landing Page ฟิชชิ่งที่ทำการลอกเลียนแบบหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365

Microsoft ได้เเนะนำให้ผู้ใช้ทำการตรวจสอบเเหล่งที่มาของอีเมลที่เปิดอ่านและทำการตรวจสอบทุกครั้งที่เปิดหน้า Landing Page ลงชื่อเข้าใช้เพื่อป้องกันการฟิชชิงข้อมูลของผู้ใช้

ที่มา : bleepingcomputer

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.