Microsoft bestrijdt phishing op een innovatieve manier door hackers te lokken naar realistisch nagebouwde IT-omgevingen van klanten. Via deze geavanceerde honeypots, die bekend staan als 'hybrid high interaction honeypots', probeert Microsoft zo veel mogelijk gegevens van hackers te verzamelen en hun activiteiten te verstoren en vertragen. Deze honeypots bootsen complexe Microsoft-klantenomgevingen na, compleet met toegang tot Azure, eigen domeinnamen, duizenden gebruikersaccounts en realistisch uitziend netwerkverkeer, zoals interne communicatie en bestandendeling.
Microsoft heeft deze omgevingen gebouwd op het uitgefaseerde platform code.microsoft.com. Het doel van deze tactiek is om hackers te verleiden deze systemen te infiltreren, zodat Microsoft hun methodes kan bestuderen en hun acties kan verstoren. Deze aanpak geeft Microsoft inzicht in de infrastructuur en werkwijze van phishinggroepen, en stelt hen in staat om grootschalige phishingcampagnes te verstoren, de criminelen te identificeren en hun activiteit aanzienlijk te vertragen.
**Actief lokken van hackers**
Een belangrijke verandering in de strategie van Microsoft is dat het bedrijf niet langer passief wacht totdat hackers hun honeypots vinden. In plaats daarvan gaat Microsoft proactief op zoek naar bekende phishing-accounts en -sites die zich richten op Microsoft-gebruikers. Ze vullen deze phishingpagina's met de inloggegevens van hun nep-omgevingen. De systemen zijn bewust kwetsbaar gemaakt, zonder tweestapsverificatie, om hackers een valse indruk te geven dat ze een zwakke plek hebben gevonden.
**Informatie verzamelen en tijd rekken**
Microsoft houdt dagelijks ongeveer 25.000 phishingsites in de gaten. Bij ongeveer 20% van deze sites worden honeypot-gegevens ingevoerd, terwijl de rest wordt geblokkeerd met CAPTCHA’s en anti-botmechanismen. Van de hackers die de honeypot-inloggegevens gebruiken, blijkt 5% toe te happen. Zodra hackers toegang krijgen tot deze nep-omgevingen, wordt hun activiteit nauwkeurig gelogd. Microsoft volgt hun tactieken, technieken en procedures (TTP's) en verzamelt waardevolle gegevens zoals IP-adressen, browserinformatie, locaties en gedragspatronen. Ook wordt bijgehouden of ze gebruikmaken van VPN's of VPS, en welke phishing kits ze inzetten.
Gedurende deze periode houdt Microsoft bewust de interactie met hackers minimaal, zodat zij zo lang mogelijk in de veronderstelling blijven dat ze toegang hebben tot een echte omgeving. Dit vertraagt hun activiteiten aanzienlijk; sommige hackers doen er tot 30 dagen over om door te hebben dat ze in een nep-omgeving werken.
**Een wapen tegen geavanceerde hackers**
De door Microsoft verzamelde informatie wordt gedeeld met andere beveiligingsteams, zodat zij uitgebreidere profielen en sterkere verdedigingsmechanismen kunnen ontwikkelen. Dankzij deze geavanceerde honeypots is Microsoft in staat om niet alleen amateuristische phishingcriminelen aan te pakken, maar ook meer gesofisticeerde hackersgroepen, waaronder financieel gemotiveerde cybercriminelen en zelfs door de staat gesteunde hackers. Een voorbeeld hiervan is de Russische Midnight Blizzard (voorheen bekend als Nobelium), die onder meer betrokken was bij de SolarWinds-hack.
Deze strategie helpt Microsoft om phishingaanvallen wereldwijd te vertragen en te verstoren, waardoor het moeilijker wordt voor hackers om snel hun aanvallen te voltooien.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack