Angribere misbruger i stigende grad betroede cloud-tjenester til at levere phishingangreb. Azure Monitor-phishingkampagnen viser, hvordan legitime varslingssystemer kan omdannes til overbevisende svindelværktøjer. I stedet for at stole på spoofede e-mails bruger trusselsaktører reel infrastruktur til at nå deres mål direkte.
Angribere misbruger Azure Monitor-varsler
Kampagnen bruger Azure Monitor, en legitim tjeneste designet til at overvåge aktivitet og sende varsler. Angribere opretter deres egne miljøer og konfigurerer varslingsregler for at generere notifikationer.
Når disse varsler udløses, sendes de gennem Microsofts infrastruktur. Som et resultat fremstår meddelelserne som autentiske og har større sandsynlighed for at passere sikkerhedsfiltre.
Derudover kan angribere inkludere eksterne e-mailadresser i varslingskonfigurationer. Dette gør det muligt at sende notifikationer direkte til mål, selv uden adgang til interne systemer.
Callback-phishing driver angrebet
E-mailsene er designet til at skabe hastværk. De advarer ofte om mistænkelig aktivitet, faktureringsproblemer eller uautoriserede adgangsforsøg.
I stedet for at bruge skadelige links instruerer meddelelserne ofrene i at ringe til et telefonnummer. Denne tilgang omdanner angrebet til et callback-phishing-scenario, også kendt som vishing.
Når offeret tager kontakt, udgiver angribere sig for at være supportmedarbejdere. De forsøger at indsamle følsomme oplysninger eller guide offeret til at installere fjernadgangsværktøjer.
I mange tilfælde efterligner beskederne svindeladvarsler for at øge presset og reducere tøven.
Legitim infrastruktur øger troværdigheden
Fordi varslerne stammer fra ægte Microsoft-systemer, fremstår de langt mere troværdige end traditionelle phishingmails. Som et resultat er det mindre sandsynligt, at modtagere stiller spørgsmål ved deres ægthed.
Samtidig kan traditionelle e-mailsikkerhedsværktøjer have svært ved at opdage disse meddelelser. De er ikke spoofede og benytter ikke mistænkelige domæner.
Dette afspejler en bredere udvikling i phishingmetoder, hvor angribere udnytter betroede platforme til at forbedre leverings- og succesrater.
Lav kompleksitet muliggør hurtig skalering
Angrebet kræver ikke avancerede tekniske færdigheder. Trusselsaktører behøver kun at oprette en Azure-konto, konfigurere varsler og definere modtagere.
På grund af dette kan kampagner hurtigt skaleres og nå et stort antal potentielle ofre. Derudover gør brugen af legitim infrastruktur det muligt for disse operationer at forblive aktive i længere tid.
Brugere skal verificere varsler nøje
Brugere bør behandle uventede varsler med forsigtighed, selv når de virker legitime. Især bør meddelelser, der kræver øjeblikkelig handling eller beder brugere om at ringe til et nummer, betragtes som mistænkelige.
I stedet bør brugere verificere varsler via officielle dashboards eller betroede kommunikationskanaler. Dette reducerer risikoen for at blive offer for social engineering.
Organisationer bør også gennemgå deres varslingskonfigurationer og begrænse eksterne notifikationer. Ved at gøre dette kan de reducere risikoen for misbrug i deres miljøer.
Konklusion
Azure Monitor-phishingkampagnen viser, hvordan angribere tilpasser deres metoder. I stedet for at stole på traditionel spoofing udnytter de legitime tjenester til at levere skadelige meddelelser. Denne tilgang øger troværdigheden og omgår almindelige forsvarsmekanismer. Samtidig tilføjer callback-phishing et menneskeligt element til angrebet, hvilket gør det sværere at opdage. Organisationer må tage højde for denne udvikling og fokusere på, hvordan betroede værktøjer kan misbruges i moderne trusselsstrategier.
0 svar til “Azure Monitor-phishingkampagne udnytter varslingssystem”