Një fushatë e sofistikuar mashtrimi kibernetik ka dalë në pah së fundmi, duke shfrytëzuar funksionin “Direct Send” të Microsoft 365 për të dërguar email-e që duken sikur vijnë nga brenda organizatës — pa kompromentuar asnjë llogari të përdoruesit.
Sipas ekipit të Varonis për Zbulimin dhe Reagimin ndaj të Dhënave (MDDR), kjo fushatë ka qenë aktive që nga maji 2025 dhe ka synuar mbi 70 organizata, kryesisht në Shtetet e Bashkuara.
“Thjeshtësia e këtij sulmi është ajo që e bën të rrezikshëm. Nuk nevojiten kredenciale, malware apo qasje në ambientin e synuar — mjafton një IP publike dhe një skript i thjeshtë PowerShell,” – tha Michael Solomon, analist i Varonis.
Si Funksionon Sulmi?
Funksioni “Direct Send” i Microsoft Exchange Online lejon pajisjet apo aplikacionet të dërgojnë email-e brenda një organizate Microsoft 365 pa autentifikim, duke përdorur një “smart host” (si p.sh. tenantname.mail.protection.outlook.com). Ky funksion është menduar për përdorim të brendshëm dhe nuk kërkon emër përdoruesi apo fjalëkalim.
Sulmuesit, pasi identifikojnë domenin e organizatës dhe gjejnë një adresë email-i të vlefshme (si p.sh. emër.mbiemë[email protected]), dërgojnë mesazhe të rreme që duken sikur vijnë nga vetë organizata.
Si rezultat, këto mesazhe shpesh shmangin filtrat tradicionalë të sigurisë, sepse rrjedhin përmes infrastrukturës së Microsoft dhe trajtohen si komunikim i brendshëm.
PowerShell e bën sulmin të lehtë
Hakerët përdorin skripte të thjeshta PowerShell për të dërguar këto email-e. Përmbajtja shpesh përmban tituj si “New Missed Fax-msg” apo “Caller Left VM Message”, dhe bashkëngjitje PDF që përmbajnë QR kode që drejtojnë përdoruesit në faqe për vjedhje të kredencialeve (njohur edhe si quishing).
Një rast konkret përfshinte aktivitete email-i që vinin nga një adresë IP në Ukrainë, pa ndonjë përpjekje autentifikimi – një tregues i qartë i keqpërdorimit të funksionit “Direct Send”.
Pse këto email-e i shmangen zbulimit
Këto sulme janë të vështira për t’u kapur për disa arsye:
Nuk kërkojnë autentifikim për dërgimin e email-eve
Duken sikur vijnë nga brenda organizatës
Shumica dështojnë SPF, DKIM dhe DMARC, por prapëseprapë dorëzohen
Filtrat e Microsoft mund t’i trajtojnë si email-e të brendshme
Identifikimi i këtyre email-eve kërkon inspektim të thellë të “header”-ave dhe ndjekje të sjelljeve të pazakonta, si përdorimi i PowerShell, IP-të e panjohura, ose email-e të dërguara nga vetvetja.
Masat mbrojtëse të rekomanduara
Ekipi i Varonis rekomandon që organizatat të zbatojnë këto masa:
Aktivizimi i opsionit “Reject Direct Send” në Exchange Admin Center
Zbatimi i një politike DMARC të rreptë (p.sh. p=reject)
Karantinimi i email-eve të brendshme pa autentifikim
Zbatimi i politikës SPF hardfail në Exchange Online Protection
Vendosja e politikave kundër spoofing-ut
Trajnimi i punonjësve për të identifikuar sulmet me QR kode (quishing)
Monitorimi i sjelljeve të dyshimta në dërgimin e email-eve
Përdorimi i një adrese IP statike në SPF për të parandaluar keqpërdorimet
“Direct Send është një funksion i dobishëm për pajisjet e brendshme, por i rrezikshëm nëse nuk kontrollohet. Mos mendoni se çdo email i brendshëm është i sigurt,” përfundoi Varonis.
