Azure Monitor upozorenja zloupotrebljena za callback phishing kampanju
Napadači zloupotrebljavaju Microsoft Azure Monitor kako bi slali callback phishing poruke koje izgledaju kao legitimna upozorenja o sumnjivim troškovima ili fakturama. Poruke ne dolaze sa spoofed adresa, već direktno preko Microsoft platforme sa adrese azure-noreply@microsoft.com, zbog čega prolaze SPF, DKIM i DMARC provere i deluju uverljivije. U opisu alert pravila napadači ubacuju lažnu poruku o neovlašćenoj naplati i broj telefona koji žrtva treba da pozove, oslanjajući se na paniku i osećaj hitnosti.
Ovaj slučaj pokazuje da phishing više ne zavisi samo od lažnih domena i loše napisanih mejlova. Kada se zloupotrebi legitimna cloud platforma, tehničke provere prolaze, a korisnik dobija poruku koja izgleda sasvim stvarno. To je opasno i za firme i za pojedince, jer povećava šansu da će neko pozvati broj iz poruke ili dati pristup napadaču.
- Tretirati sa sumnjom svako Microsoft ili Azure upozorenje koje traži hitan poziv na telefonski broj
- Proveravati naplatu i bezbednosna obaveštenja isključivo prijavom na zvanični Microsoft nalog, ne kroz broj iz mejla
- Obučiti korisnike da callback phishing može doći i sa legitimnih adresa i platformi
- Blokirati ili dodatno proveravati poruke koje sadrže hitne finansijske zahteve i brojeve telefona
- Pratiti pokušaje namamljivanja korisnika na instalaciju remote access alata posle telefonskog kontakta