Executando verificação de segurança...
3
NewsletterOficial
2 min de leitura ·

Microsoft utiliza locatários falsos no Azure para atrair cibercriminosos e coletar dados estratégicos

A iniciativa visa entender melhor as táticas sofisticadas usadas nesses ataques, interromper campanhas em grande escala, identificar os criminosos e reduzir significativamente suas atividades.

O conceito foi apresentado por Ross Bevington, engenheiro de software de segurança sênior da Microsoft. Ele desenvolveu o que chama de “honeypot híbrido de alta interação” na antiga plataforma code.microsoft.com, para capturar inteligência sobre ameaças de diversos atores, que vão desde criminosos menos habilidosos até grupos patrocinados por estados que têm como alvo a infraestrutura da empresa.

Atualmente, Bevington e sua equipe combatem o phishing por meio de técnicas de engano, utilizando locatários completos da Microsoft como honeypots, que incluem domínios personalizados, milhares de contas de usuário e atividades simuladas, como comunicações internas e compartilhamento de arquivos. Durante sua apresentação, o engenheiro explicou que a abordagem ativa envolve a inserção de credenciais dos locatários falsos em sites de phishing identificados pelo Microsoft Defender. Como essas credenciais não são protegidas por autenticação de dois fatores e os locatários são repletos de informações realistas, os atacantes têm fácil acesso e acabam desperdiçando tempo procurando indícios de uma armadilha.

A Microsoft monitora aproximadamente 25 mil sites de phishing diariamente. Cerca de 20% desses sites recebem credenciais falsas, enquanto o restante é bloqueado por CAPTCHA ou outras medidas de proteção contra bots. Em 5% dos casos, os invasores conseguem acessar os locatários falsos, ativando registros detalhados que permitem rastrear cada ação executada. Isso oferece à Microsoft uma visão clara das táticas, técnicas e procedimentos dos cibercriminosos.

As informações coletadas incluem endereços IP, navegadores, localização, padrões de comportamento, uso de VPNs ou VPSs, e os kits de phishing utilizados. Além disso, quando os invasores tentam interagir com as contas falsas, a Microsoft atrasa as respostas ao máximo, forçando-os a perder até 30 dias antes de perceberem que estão em um ambiente falso. Bevington menciona que menos de 10% dos endereços IP coletados podem ser correlacionados com dados de outros bancos de ameaças conhecidos.

Fonte: https://www.bleepingcomputer.com/news/security/microsoft-creates-fake-azure-tenants-to-pull-phishers-into-honeypots/

Carregando publicação patrocinada...
3
gpoleszuk

Quando uma estratégia de contrainteligência é revelada é porque já foi percebida pelo alvo e perdeu sua eficácia. As ações que atualmente estão em curso são mais avançadas nesse novo cenário de dúvidas que se estabeleceu. Observar o comportamento de fuga vai revelar os agentes amadores.