Сложная фишинговая кампания эксплуатирует легитимный сервис Microsoft Azure Monitor для придания достоверности мошенническим оповещениям. Злоумышленники рассылают электронные письма, маскирующиеся под официальные уведомления группы безопасности Microsoft, которые предупреждают получателей о несанкционированных списаниях с их счетов. Эти обманчивые сообщения призывают жертв позвонить по указанному номеру телефона, инициируя классическую фишинговую атаку с обратным вызовом (вишинг). Использование доверенного облачного сервиса Microsoft представляет собой значительную эскалацию тактик социальной инженерии, предназначенных для обхода традиционных фильтров безопасности электронной почты, которые часто добавляют оповещения с проверенных доменов Microsoft в белый список.
Azure Monitor является основным компонентом облачной инфраструктуры Microsoft, предназначенным для сбора, анализа и реагирования на телеметрические данные от приложений и ресурсов. Его основные функции включают отслеживание производительности, уведомления об изменениях в выставлении счетов и автоматическое оповещение. Злоумышленники создают электронные письма, имитирующие формат и язык настоящих оповещений о выставлении счетов от Azure Monitor. Пример поддельного оповещения ссылается на «УВЕДОМЛЕНИЕ О БЕЗОПАСНОСТИ СЧЕТА И ВЫСТАВЛЕНИИ СЧЕТОВ КОРПОРАЦИИ MICROSOFT» и ложно утверждает, что списание на сумму 389,90 долларов США в пользу «Windows Defender» было помечено как мошенническое. Сообщение предписывает получателю связаться с якобы круглосуточной службой поддержки безопасности учетной записи Microsoft для решения проблемы, тем самым вступая в прямой контакт с мошенниками.
Эта кампания подчеркивает критический вектор угрозы, при котором злоумышленники используют репутацию и техническую интеграцию легитимных платформ «программное обеспечение как услуга» (SaaS) для мошенничества. Злоупотребляя механизмом оповещений Azure Monitor, фишинговые письма приобретают ауру подлинности, которую даже опытным пользователям трудно сразу отвергнуть. Эксперты по кибербезопасности предупреждают, что как только жертва позвонит по номеру, социальные инженеры попытаются собрать конфиденциальную информацию, такую как учетные данные или финансовые данные, или даже могут убедить пользователя установить программное обеспечение для удаленного доступа под предлогом «решения» проблемы, что приведет к потенциальному компрометированию системы.
Организации и частные лица должны применять многоуровневую стратегию защиты. Ключевые рекомендации включают проверку подлинности любого непрошенного оповещения путем прямого входа на официальный портал Azure или страницу учетной записи Microsoft — никогда не используя ссылки или номера телефонов, указанные в письме. Командам безопасности следует обучать пользователей признакам фишинга с обратным вызовом и рассмотреть возможность внедрения более строгих правил потока почты для внешних оповещений, даже тех, которые, казалось бы, поступают с доверенных платформ. Microsoft, вероятно, расследует злоупотребление своим сервисом, но этот инцидент служит stark напоминанием о том, что в средах, ориентированных на облако, доверие, которое мы оказываем уведомлениям служб, может быть превращено противниками в мощное оружие.
