Microsoft infratuzilmasi niqobi ostidagi yangi firibgarlik: .onmicrosoft.com domenlari orqali TOAD hujumlari
So‘nggi paytlarda kiberjinoyatchilar foydalanuvchilarni aldash uchun tobora murakkab va ishonchli ko‘rinadigan usullardan foydalanmoqda. Shular jumlasidan, Microsoft’ning qonuniy infratuzilmasidan foydalangan holda amalga oshirilayotgan Telephone-Oriented Attack Delivery (TOAD) hujumlari alohida xavf uyg‘otmoqda. Ushbu hujumlar .onmicrosoft.com domenlari orqali tarqatilib, ko‘plab an’anaviy himoya mexanizmlarini chetlab o‘tishga muvaffaq bo‘lmoqda.
Hujum mexanizmi qanday ishlaydi?
Mazkur hujum turi alohida zararli fayl yoki havolalarga tayanmaydi. Aksincha, hujumchi Azure platformasida o‘ziga tegishli tenant (ijara muhiti) yaratadi va Microsoft’ning standart imkoniyatlaridan foydalanib, potensial qurbonlarga Microsoft Invite (taklifnoma) yuboradi.
Eng xavfli jihati shundaki, zararli yuklama (payload) taklifnoma ichidagi “Message” (Xabar) qismiga joylanadi. Ushbu xabarlarda odatda:
- hisob-kitob bilan bog‘liq muammo,
- obuna (subscription) bekor qilinishi,
- to‘lov bilan bog‘liq nosozlik
bahonasi bilan foydalanuvchidan soxta texnik yordam raqamiga qo‘ng‘iroq qilish so‘raladi.
Bu esa TOAD hujumlarining asosiy maqsadi — foydalanuvchini telefon orqali aldab, moliyaviy yoki maxfiy ma’lumotlarni qo‘lga kiritish —ga xizmat qiladi.
Nega bu hujumlar xavfli?
.onmicrosoft.com domenlari Microsoft’ning o‘ziga tegishli bo‘lgani sababli, bunday xatlar:
- yuqori domen reputatsiyasiga ega bo‘ladi;
- ko‘plab email shlyuzlari va filtrlari tomonidan avtomatik tarzda ishonchli deb qabul qilinadi;
- oddiy fishing xabarlariga nisbatan tez-tez foydalanuvchi pochta qutisiga yetib boradi.
Garchi Microsoft Defender for Office 365 (MDO) bunday xabarlarning ayrimlarini “yuqori ishonchli fishing” sifatida aniqlay olsa-da, faqat avtomatlashtirilgan himoyaga tayanish yetarli emas.
Himoya choralarining cheklanganligi
Ba’zi tashkilotlar Microsoft Entra External Identity (B2B) orqali tashqi foydalanuvchilarni cheklashga urinadi. Ammo bu usul mazkur hujumga qarshi samarasiz, chunki:
- hujum muvaffaqiyatli bo‘lishi uchun foydalanuvchi taklifni qabul qilishi shart emas;
- autentifikatsiya jarayoni talab etilmaydi;
- zararli xabar elektron pochta bildirishnomasining o‘zida yetkaziladi.
Ya’ni, xat pochta qutisiga tushishi bilan hujum o‘z maqsadiga erishadi.
Tavsiya etiladigan texnik yechim
Mutaxassislar ushbu tahdidni kamaytirish uchun Exchange Transport Rule orqali maxsus filtrlash qoidasini joriy etishni tavsiya etadi. Biroq .onmicrosoft.com domenini to‘liq bloklash mumkin emas, chunki bu Microsoft’ning qonuniy administrativ trafikiga ham zarar yetkazadi.
Shu sababli, Regex (muntazam ifoda) asosida aniq andozani aniqlash tavsiya etiladi. Xabar matnini tahlil qilish uchun quyidagi Regex qo‘llanilishi mumkin:
textDomain:\s+([A-Za-z0-9]+)\.onmicrosoft\.comBu yondashuv faqat hujumlarga xos bo‘lgan shakllarni aniqlashga yordam beradi va qonuniy Microsoft Online Email Routing Address (MOERA) manzillariga xalaqit bermaydi.
Muhim ogohlantirish
Ushbu himoya choralarini joriy etishdan avval:
- tashkilot ichidagi va tashqi pochta oqimlarini audit qilish;
- ayrim pudratchilar yoki kichik hamkorlar
.onmicrosoft.comdomenidan foydalanayotganini aniqlash
juda muhim.
Agar qonuniy hamkorlar aniqlansa, ularni:
- alohida whitelistga qo‘shish;
- yoki o‘zlariga maxsus brendlangan domen sozlashni tavsiya etish
orqali uzluksiz aloqa ta’minlanishi lozim.
Mazkur TOAD hujumlari yana bir bor shuni ko‘rsatadiki, kiberjinoyatchilar endi faqat zararli kodga emas, balki ishonchga asoslangan infratuzilmalardan noto‘g‘ri foydalanishga tayanmoqda. Shu bois, tashkilotlar texnik himoya bilan bir qatorda:
- xodimlar xabardorligini oshirish,
- telefon orqali keladigan shubhali murojaatlarga nisbatan ehtiyot choralarini kuchaytirish,
- email xavfsizlik siyosatlarini muntazam yangilab borish
kabi choralarni ham ustuvor vazifa sifatida ko‘rishi zarur.
