Взломщики похищают аккаунты Office 365 и G Suite через IMAP
Чуваки из ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отслеживаемые экспертами аккаунты более 100 тыс. раз.
По мнению специалистов, обеспечить должную степень безопасности разработчикам мешают устаревшие протоколы. Двухфакторная авторизация не позволяет защитить аккаунты в Office 365 и G Suite в нужной мере, поскольку общие и сервисные почтовые ящики арендаторов остаются уязвимыми. Доступ к ним злоумышленники получают в ходе кампаний типа password-spraying через протокол IMAP, когда учетные записи взламывают посредством перебора часто используемых паролей.
По данным специалистов, в период с сентября 2018 года по февраль 2019-го мошенники использовали IMAP-атаки для угона аккаунтов руководителей и административного персонала. Помимо прочего, после захвата профилей они создавали внутренние фишинговые рассылки, а также использовали доступ к корпоративной инфраструктуре для проведения более масштабных внешних атак и распространения по сервисам.
Проанализировав миллионы профилей, исследователи установили:
- 72%арендаторов облачных сервисов подвергались по меньшей мере одной атаке.
- В средах 40% клиентов G Suite и Office 365 обнаружилась хотя бы одна взломанная учетная запись.
- В среднем из 10 тыс. активных аккаунтов злоумышленникам удавалось захватить 15.
За последние полгода атакам через IMAP подверглись 60% арендаторов G Suite и Office 365. В каждом четвертом случае злоумышленники успешно проникали в корпоративные среды.
Прошлогоднее исследование компании Bitglass показало, что в инфраструктуре 44% организаций есть по меньшей мере один зловред, предназначенный для выполнения в облаке. В среднем в таких сервисах, как OneDrive, Google Drive, Box и Dropbox, предприятия хранят около 450 тыс. объектов, на каждые 20 тыс. из них приходится один подобный файл.