A Microsoft figyelmeztetése szerint a kiberbűnözők adathalász kampányaik során egyre gyakrabban használják ki az összetett levelezési útvonalakat, valamint a nem megfelelően konfigurált domain‑megszemélyesítés elleni védelmi mechanizmusokat. A támadási technika alapja legitim domainek megszemélyesítése, amelynek következtében az üzenetek úgy tűnnek, mintha belső levelezésből származnának, ez pedig jelentősen növeli az adathalász támadások sikerességét.
Az ilyen jellegű kampányok jellemzően opportunista jellegűek, és gyakran phishing‑as‑a‑service (PhaaS) platformokra, például a Tycoon2FA‑ra épülnek. A célpontok különböző iparágakból kerülnek kiválasztásra, a támadások során pedig elsősorban dokumentummegosztással, HR‑kommunikációval, számlázással, jelszó‑visszaállítással, valamint hangpostával kapcsolatos megtévesztő üzeneteket alkalmaznak. A megszerzett hitelesítő adatok üzleti levelezési visszaélésekhez (BEC) illetve adatlopási műveletekhez használhatók fel.
A támadási felület kialakulásához hozzájárul, hogy az érintett szervezetek komplex levelezési útvonalakat konfigurálnak anélkül, hogy a DMARC és SPF szabályokat szigorúan érvényesítenék, valamint az MX rekordok nem az Office 365‑re mutatnak. Ez lehetővé teszi a támadók számára, hogy olyan üzeneteket küldjenek, melyek úgy tűnnek, mintha a szervezetek saját domainjeiből származnának.
A Microsoft hangsúlyozza, hogy a jelenség nem a Direct Send szolgáltatás hibájából fakad, hanem a helytelen konfiguráció következménye. A vállalat állítása szerint a DMARC reject és SPF hard fail beállítások, valamint a harmadik féltől származó csatlakozók (third-party connectors) megfelelő konfigurálása jelentősen csökkentheti a támadások kockázatát, ezért ezeket mindenféleképpen érdemes alkalmazni.
A Tycoon2FA-hoz hasonló platformok teljes támadói infrastruktúrát biztosítanak az adversary‑in‑the‑middle (AiTM) típusú adathalász támadások végrehajtásához, amelyek révén a többtényezős hitelesítés (MFA) is megkerülhető. A Microsoft emellett eszköztárat biztosít a levelezési csatlakozók helyes konfigurálásához, valamint az ehhez hasonló támadások felderítéséhez és kezeléséhez.
