مایکروسافت توقف جهانی تقلب انتخاباتی است که هدف مدیران

پیچیده طرح طراحی شده به فوت و فن کسب و کار در بیش از 60 کشور جهان به سیم کشی مبالغ زیادی از پول را به حمله.

مایکروسافت عقیم تقلب در مقیاس بزرگ کمپین استفاده می شود که بد گویی کردن دامنه ها و برنامه های مخرب به کلاهبرداری از مشتریان در 62 کشور در سراسر جهان است.

نرم افزار ساز و ابر-ارائه دهنده خدمات در هفته گذشته به دست آمده حکم دادگاه اجازه داده است که آن را برای به دست گرفتن شش حوزه پنج که شامل کلمه”،” این شرکت گفت: مهاجمان با استفاده از آنها را در یک کمپین پیچیده طراحی شده برای فریب مدیران و رتبه بندی رهبران کسب و کار به سیم کشی مبالغ زیادی از پول را به حمله به جای مورد اعتماد طرفین است. زودتر به اصطلاح BEC یا کسب و کار ایمیل, سازش که همان گروه از مهاجمان انجام شده در ماه دسامبر با استفاده از حملات فیشینگ به دست آوردن دسترسی های غیر مجاز. ایمیل با استفاده از generic کسب و کار تم ها مانند درآمد سه ماهه گزارش. مایکروسافت با استفاده از وسایل فنی به آن را تعطیل کند.

حمله بازگشت و با یک جدید BEC که در زمان های مختلف رویه: به جای فریب اهداف به ورود به lookalike سایت و در نتیجه افشای رمزهای عبور کلاهبرداری با استفاده از ایمیل است که آموزش گیرنده به آنچه که ادعا می شود مایکروسافت برنامه دسترسی به Office 365 حساب. آخرین کلاهبرداری با استفاده از Covid-19 اپیدمی به عنوان یک فریب است.

“این طرح را فعال دسترسی غیر مجاز به صراحت و بدون نیاز به قربانیان به طور مستقیم داد تا اعتبار ورود خود را در یک وب سایت جعلی و یا رابط های مشابه به عنوان آنها را در یک سنتی فیشینگ کمپین” تام برت مایکروسافت شرکت معاون رئیس جمهور برای مشتریان از امنیت و اعتماد نوشت. “بعد از کلیک کردن از طریق رضایت سریع برای وب مخرب برنامه های ناخواسته قربانی اعطا جنایتکاران اجازه دسترسی و کنترل قربانیان Office 365 حساب مطالب از جمله ایمیل, تماس با ما, یادداشت ها و مواد ذخیره شده در قربانیان OneDrive برای کسب و کار فضای ذخیره سازی ابری و سازمانی شیرپوینت سند مدیریت و ذخیره سازی سیستم.”

برت ذکر یک 2019 گزارش از FBI است که گفت: BEC جنایات ناشی از ضرر و زیان بیش از 1.7 میلیارد دلاری تقریبا نیمی از تمام ضرر و زیان مالی ناشی از جرایم اینترنتی. BECs شد, پر هزینه ترین شکایت دریافت شده توسط Internet Crime مرکز با توجه به گزارش. در برخی از بیشتر به خوبی اجرا مبارزات مدیران دریافت ایمیل که به نظر می رسد آمده از مدیران و حسابداران و یا دیگر افرادی که کار برای سازمان است.

برت نمی دهد و یا نام وابستگی از هکرها دیگر از برای آنها پیچیده و تا به حال انجام دسامبر مبارزات انتخاباتی.

این اولین بار نیست مهاجمان را فریب اهداف به اعطای دسترسی به شبکه به برنامه های مخرب. سال گذشته محققان اعلام حداقل دو نفر دیگر هم از آنها طراحی شده برای به دست آوردن دسترسی به حساب گوگل. یکی انجام شد توسط هکرها کار برای مصر با توجه به گزارش سازمان عفو بین الملل. از دیگر هدف های iOS و دستگاه های آندروید از تبتی.

هر دو کمپین با اتکا بر OAuth حفظ یک استاندارد باز است که اجازه می دهد تا کاربران را به وب سایت یا برنامه های دسترسی به منابع شبکه را بدون نیاز به آنها را به یک رمز عبور. به عنوان مایکروسافت گفت: این حملات اغلب در زیر رادار پرواز از کاربران آموزش دیده به نقطه فیشینگ از هیچ درخواست به وارد کردن رمز عبور به یک سایت جعلی. در برخی موارد OAuth روش ممکن است توانایی برای دور زدن دو فاکتور تأیید هویت است که در علاوه بر این به یک رمز عبور نیاز کاربران را به وارد کردن یک رمز عبور موقت و یا برای اتصال فیزیکی کلید امنیتی به دستگاه که در حال تصدیق.

مایکروسافت برت نیست به صراحت می گویند که برنامه های مورد استفاده در مورد اخیر بیشتر از طریق OAuth تأیید. در یک پست جداگانه منتشر شده در چهارشنبه, مایکروسافت هشدار داد “رضایت فیشینگ” است که در آن حمله با استفاده از OAuth روش.

در میان توصیه های مایکروسافت پست ارائه برای جلوگیری از چنین حملاتی است که به نوبه خود بر دو فاکتور تأیید هویت. این همیشه یک ایده خوب به آن را روشن کنید اما روشن نیست چگونه موثر اندازه گیری به تنهایی در جلوگیری از این حملات. برخی شبکه ها ممکن است نیاز به عامل دوم برای OAuth تأیید. و حتی زمانی که شبکه های فراموش اجرای 2FA برای OAuth حفظ اهداف که در حال فریب به اتصال یک برنامه به احتمال زیاد می تواند فریب خورده به تهیه دومین عامل نیز هست.

یک راه برای محافظت از گوگل و G Suite حساب در برابر OAuth کلاهبرداری است که به نوبه خود در حفاظت پیشرفته است که به شدت به اجرا در سخت افزار مبتنی بر 2FA برای هر دستگاه جدید و یا برنامه ورود به سیستم برای اولین بار. این برنامه همچنین محدود تمام اما یک تعداد انگشت شماری از برنامه های کاربردی از اتصال حتی زمانی که یک کلید ارائه شده است, پس از آن ممکن است مناسب برای همه کاربران. این امکان وجود دارد که دیگر 2FA حمایت انجام همان.

راه های دیگر برای جلوگیری از کلاهبرداری است که به یادگیری نشانه های ثبتشده از فیشینگ مانند اشتباه کلمات دستور زبان بد و لینک به سایت های که نام یک شرکت یا محصول اما ترکیب آن با کلمات است که معمولا توسط برنامه ساز یا سایت اپراتور. چهارشنبه پست فراهم می کند از راه های مختلفی به نقطه مخرب OAuth برنامه های. این اقدامات به سختی و به عنوان نتیجه اثربخشی و هزینه پایین فیشینگ باعث می شود آن را یکی از مهاجمان رفتن به روشها برای به خطر انداختن حساب. مراحل دارد با اینحال ارزش زیر است.

این داستان در ابتدا در ظاهر Ars Technica.


بزرگ تر سیمی داستان
  • چگونه ماسک های رفت و از همین حالا-پوشیدن به باید
  • پوکر و روانشناسی از عدم قطعیت
  • زیرساخت های مسابقه تسلیحاتی است که سوخت رسانی آینده از بازی
  • چگونه برای به دست آوردن صفری ویژگی های حفظ حریم خصوصی در کروم و فایرفاکس
  • همه چیز شما نیاز به کار از خانه مانند یک حرفه ای
  • 👁 درمانگر است—و آن را یک chatbot برنامه. به علاوه: دریافت آخرین اخبار AI
  • 🏃🏽♀️ می خواهید بهترین ابزار برای دریافت سالم است ؟ ما را بررسی کنید دنده تیم میدارد برای تناسب اندام بهترین انتقالها دنده در حال اجرا (از جمله کفش و جوراب) و بهترین هدفون

tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de

نرم افزار گرامرلی

ایندکسر