none
Фишинговые атаки на почту сотрудников Exchange 365 RRS feed

  • Вопрос

  • Коллеги подскажите пож-та.

    В последнее время на корпоративную почту участились атаки в виде доставки писем с маскировкой под письма от О365 или поддержки MS. Типа ваш пароль просрочен и т.п. Есть способы это как-то фильтровать? Понимаю что вопрос без особой конкретики, но просто устали народ предупреждать и удалять подобную фигню из почты

    Спасибо!

    13 декабря 2019 г. 14:40

Ответы

  • да я понимаю, но такие рассылки не содержат "запросов" на пароли. Вот поэтому я и предлагаю блокировать по ключевым фразам. И эта фраза должна быть уникальной, отличающейся от Сбера.

    У нас такая же проблема была - решили только с помощью фильтра контента, т.к. злоумышленники будут постоянно менять адреса, а текст на много реже.

    Также настоятельно рекомендую делать информационные IT рассылки Вам пользователям, с указанием не кликать на подобного рода ссылки. И что если у них какие-либо сомнения, то они должны связаться с вами.

    16 декабря 2019 г. 10:19

Все ответы

  • Приветствую.

    Посмотрите Заголовки сообщений по защите от нежелательной почты 

    Посмотрите заголовки сообщения, и выполните их Анализ в Message Header Analyze   

    Посмотрите исходящие ip и Адреса, используйте их в транспортном правиле для блокировки фиктивных писем


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    13 декабря 2019 г. 18:15
    Модератор
  • Типа ваш пароль просрочен и т.п. Есть способы это как-то фильтровать?

    Блокируйте прямо по ключевым фразам. Никто не может требовать ввода пароля:

    13 декабря 2019 г. 18:47
  • Да мы так и делаем. Сначала блочили по доменам с которых идет эта ерунда. Но одинаковые письма с просьбой сменить пароль или подтвердить его, начали идти с других доменов. Черный список раздулся до 150-250 записей уже. Надоело так...

    Начала блочить по ключевым словам в письме. Перехватываем письмо, оно к нам приходит на утверждение, смотрим содержимое, если плохое - удаляем, если норм - утверждаем и оно идет дальше получателю. Но таких писем в день уже бывает до 10-ка. Просто я думал, может в Exchange 365 есть какой-то механизм о котором мы не знаем )), что-то подкрутить и Exchange часть будет сам распознавать. Вряд ли, ) но решил спросить

    14 декабря 2019 г. 15:36
  • не надо проверять такие письма - блокируйте их сразу. если кто-то спрашивает Ваш пароль - это уже фишинг. Ни одна нормальная огранизация не будет спрашивать никаких паролей.

    А так, у Exchange Online стандартные механизмы: DKIM, DMARC, SPF.

    14 декабря 2019 г. 15:44
  • Вообще письма с подделкой адресов изначально должны идти в спам, попробуйте настроить более жесткие политики на уровне организации

    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    14 декабря 2019 г. 15:45
    Модератор
  • Ну сразу делать reject писем тоже не камильфо! Нам например Сбер присылает свои письма, а у них в подписи есть фраза "....для смены пароля...." и т.п. У пользователей есть тоже много сервисов по работе по отслеживанию грузов и транспорта. Они тоже периодически могут сменить свой пароль от личного кабинета и к нам в таком случае приходит письмо на "Утверждение". Так что реджектить сразу письма, в нашем случае пока не получается. Можно лишнее зацепить
    16 декабря 2019 г. 6:19
  • Да в данном случае нет подделки адресов. Просто от какого-нибудь support@fassiejjjkks.com или o365@microsoftonlinesupport.com и им подобных, приходят письма с содержимым в точности повторяющим стиль писем от Microsoft, с просьбой подтвердить пароль или "Ваш пароль истекает..."

    Поэтому они в спам и не попадают.

    16 декабря 2019 г. 6:23
  • приходят письма с содержимым в точности повторяющим стиль писем от Microsoft, с просьбой подтвердить пароль или "Ваш пароль истекает..."

    Поэтому они в спам и не попадают.

    чтобы я не помню, чтобы MS мне присылало письмо о просроченном пароле. И я очень сомневаюсь, что они делают такие рассылки.

    Если Сбер присылает такого рода письма, значит пишите более точные слова в фильтр, не повторяющие Сберовские.

    16 декабря 2019 г. 8:43
  • Да, не... все правильно. Может криво объяснил ))

    MS не шлет такие письма, просто мошенники делают свои письма с этими просьбами, очень похожими по стилю на сообщения от O365.

    Ну к примеру есть письма похожие на Weekly Digest O365. 

    16 декабря 2019 г. 9:57
  • да я понимаю, но такие рассылки не содержат "запросов" на пароли. Вот поэтому я и предлагаю блокировать по ключевым фразам. И эта фраза должна быть уникальной, отличающейся от Сбера.

    У нас такая же проблема была - решили только с помощью фильтра контента, т.к. злоумышленники будут постоянно менять адреса, а текст на много реже.

    Также настоятельно рекомендую делать информационные IT рассылки Вам пользователям, с указанием не кликать на подобного рода ссылки. И что если у них какие-либо сомнения, то они должны связаться с вами.

    16 декабря 2019 г. 10:19
  • Да, так регулярно и делаем. Спасибо всем!
    16 декабря 2019 г. 10:27
  • Если подписка которую Вы используете включает ATP, то можете включить политику защиты от фишинга. Подробности в статье:

    Настройка защиты от фишинга Office 365 ATP и политик защиты от фишинга

    Office 365 Advanced Threat Protection


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    17 декабря 2019 г. 12:19
    Модератор