Microsoft создаёт поддельные клиенты Azure в качестве приманки для фишеров

Microsoft начала использовать приманки с доступом к Azure, чтобы собирать информацию о киберпреступниках.

Используя собранные данные, компания может составить карту вредоносной инфраструктуры, получить более глубокое представление о сложных фишинговых операциях, повлиять на ход кампаний, идентифицировать киберпреступников и значительно замедлить их работу.

Тактику и ее разрушительное воздействие на фишинговую активность описал на конференции BSides в Эксетере Росс Бевингтон, главный инженер по программному обеспечению безопасности в Microsoft. Он создал «гибридную приманку с высоким уровнем взаимодействия» на теперь уже закрытом code.microsoft.com для сбора информации об угрозах от менее опытных киберпреступников и национальных государственных групп, нацеленных на инфраструктуру компании.

Бевингтон и его команда борются с фишингом, используя среды арендаторов Microsoft в качестве приманок с пользовательскими доменными именами, тысячами учётных записей пользователей, внутренними коммуникациями и обменом файлами.

Помимо отвлечения злоумышленников от реальных сред, приманка также позволяет собирать данные о методах, используемых для взлома систем, которые затем можно применить в законной сети.

Чтобы сделать вовлечение хакеров активным, команда Бевингтона посещает фишинговые сайты, идентифицированные Defender, и вводит учётные данные от арендаторов приманки. 

Microsoft заявляет, что ежедневно отслеживает около 25 тысяч фишинговых сайтов, предоставляя около 20% из них учётные данные honeypot; остальные блокируются CAPTCHA или другими механизмами защиты от ботов.

После того, как злоумышленники входят в поддельные аккаунты, что происходит в 5% случаев, включается подробное ведение журнала для отслеживания каждого их действия.

Собранные