Мошенники атакуют через GMX: поддельные приглашения в Microsoft Teams крадут доступ к почте и файлам

В последнее время специалисты по кибербезопасности фиксируют новую волну мошенничества, связанную с рассылкой фальшивых приглашений на собрания Microsoft Teams. Злоумышленники действуют весьма изощренно: они взламывают почтовые аккаунты на популярном немецком сервисе GMX, который позволяет одному пользователю создавать до десяти разных адресов отправителей. Благодаря этому преступники могут менять имена отправителей и маскировать свои письма под внутренние уведомления компаний, чаще всего — под сообщения от отдела кадров.

В письмах жертве предлагают срочно присоединиться к онлайн-встрече, указывают идентификатор и пароль, а также добавляют раздел с данными «организатора», чтобы сообщение выглядело максимально правдоподобно. Если получатель переходит по ссылке, его перенаправляют на специально подготовленное вредоносное приложение Azure, замаскированное под сервис подтверждения участия в собрании. Здесь пользователя просят авторизоваться через OAuth и предоставить доступ к своей учетной записи Microsoft.

Как только жертва соглашается, мошенники получают практически полный контроль над ее почтой, файлами и даже возможностью отправлять письма от ее имени. Более того, доступ сохраняется даже после смены пароля, что делает атаку особенно опасной. Эксперты отмечают, что выбор GMX не случаен: сервис позволяет быстро менять идентификаторы отправителей, а его письма успешно проходят проверки SPF, DKIM и DMARC, из-за чего попадают прямо во «входящие» и не вызывают подозрений у почтовых фильтров.

Чтобы не стать жертвой подобной схемы, специалисты советуют внимательно проверять адреса отправителей, не спешить переходить по ссылкам из писем с пометкой «срочно» и всегда наводить курсор на ссылку, чтобы увидеть реальный адрес перехода. В современном цифровом мире простая внимательность и осторожность становятся лучшей защитой от фишинга и других киберугроз. Евгений Ивченко