Há cerca de três anos, em 2016, houve um ataque massivo do ransomware Cerber que vitimou milhões de usuários do Office 365, pois foi capaz de contornar os recursos de segurança internos através de uma conta de correio particular do Office 365.
Desde 2017, muitas organizações do mundo todo vêm reportando que estão sendo alvo de um tipo de ataque furtivo e direcionado às contas do sistema Exchange Online, denominado “KnockKnock”. Essas contas do sistema não estão atreladas a pessoas e possuem privilégios elevados. Elas podem ser usadas de várias maneiras, mas um dos usos mais comuns de uma conta do sistema é ajudar a conectar um aplicativo em nuvem a outro. As empresas dependem de várias ferramentas que trabalham juntas para produzir uma infraestrutura de nuvem bem arquitetada, mas essas conexões exigem a criação de contas que não estão vinculadas a um usuário específico. Se uma organização não sabe como funciona sua infraestrutura de nuvem, a entrada de um hacker em uma única conta do sistema pode ter um efeito de dominó terrível. As contas do sistema nunca devem ser tratadas como contas descartáveis que não precisam ser monitoradas. No mínimo, o fato de não haver um proprietário humano para a conta deve incentivar as organizações a adotar medidas adicionais para proteger a conta e monitorar continuamente sua atividade.
Uma das primeiras ações que um hacker pode tomar será utilizar o seu próprio Office 365 para descobrir se determinados tipos de ataque serão bloqueados ou não pela solução da Microsoft. Com isto, cria seu próprio arsenal para efetuar ataques.
Atualmente, mais de 3/4 das violações relacionadas a hackers tornam-se possíveis pelo uso de senhas roubadas e também pelas vulnerabilidades encontradas pelo uso de senhas fracas ou previsíveis.
Os hackers andam trabalhando exaustivamente todos os dias para vitimar usuários e obter suas credenciais para o Office 365 e outras aplicações em nuvem. Assim que eles obtêm as credenciais, podem disparar ações para vitimar a organização alvo.
Existem recursos relativamente simples para que o hacker descubra que o Office 365 está sendo utilizado na organização alvo. Desta forma ele pode direcionar ataques para essa plataforma.
Um ataque para obtenção de credenciais pode iniciar, a título de exemplo, com o envio de e-mail para um usuário, personificando uma autoridade da organização alvo. O usuário é induzido a acessar um link de um arquivo compartilhado no OneDrive. O usuário é direcionado para uma página de login falsa, réplica do Office 365, onde as credenciais dele são solicitadas e, assim, roubadas.
Uma vez que o hacker obtém as credenciais, raramente dispara um ataque em seguida. Geralmente monitora as mensagens de e-mail e investiga atividades da organização para que sejam grandes suas chances de executar um ataque de sucesso.
Suas atividades de monitoração e investigação dificilmente são percebidas, já que o hacker cria regras para esconder ou eliminar e-mails que ele envia a partir da conta comprometida.
Uma vez finalizadas as etapas de infiltração e investigação, o hacker utiliza as credenciais para comprometer outras contas mais “valiosas”, tais como as de executivos do alto escalão ou pessoal da área financeira. O objetivo maior é chegar aos dados confidenciais, pessoais ou financeiros, para cometer crimes tais como roubo de identidade e fraude.