Microsoft 365:s funktion för ”Direkt skicka”, som ursprungligen var avsedd att hjälpa enheter som skrivare och skannrar att skicka e-post, har tyvärr blivit kapad av cyberkriminella för phishingattacker. Denna funktions brist på autentisering gör den till ett frestande verktyg för angripare som vill utge sig för att vara interna användare inom organisationer. Nyligen riktades över 70 organisationer in i en kampanj som utnyttjade denna sårbarhet, där 95 % av offren befann sig i USA. Dessa attacker kringgår på ett smart sätt traditionella säkerhetsåtgärder som SPF, DKIM och DMARC, vilket gör att phishing-e-postmeddelanden ser ut som legitima interna kommunikationer.
Hur cyberkriminella utnyttjar direkt skicka
Föreställ dig en funktion som låter dig skicka e-post utan att behöva ett lösenord. Det är i grunden vad funktionen för direkt skickande gör, vilket gör den till ett primärt mål för missbruk. Ursprungligen avsedd för enheter som skrivare, har denna funktion utnyttjats i phishingkampanjer som riktar sig mot över 70 organisationer, mestadels i USA.
Angripare använder denna funktion för att skicka e-post som ser ut att komma från inom organisationen. Dessa e-postmeddelanden passerar ofta säkerhetskontroller som SPF, DKIM och DMARC eftersom de ses som intern trafik. Denna taktik gör det möjligt för angripare att skapa övertygande phishing-e-postmeddelanden som lurar anställda att avslöja känslig information, som lösenord.
Industrier under attack och deras taktik
Phishingkampanjen har främst riktat sig mot industrier som finansiella tjänster, byggsektorn, ingenjörsvetenskap, tillverkning, hälso- och sjukvård samt försäkring. Finansiella tjänster är den vanligaste måltavlan, följt av tillverkning och bygg/ingenjör.
Angripare förklädd sina e-postmeddelanden som röstmeddelanden eller faxnotifikationer. Ämnen som ”Uppringare lämnade VM-meddelande” och PDF-bilagor med titlar som ”Fax-msg” eller ”Play_VM-Now” är vanliga. Dessa PDF-filer har inga direkta länkar till phishing-sajter, utan instruerar istället mottagarna att skanna en QR-kod som leder till en phishing-sida utformad för att stjäla inloggningsuppgifter.
Hur attackerna fungerar
Angripare använder PowerShell-skript för att skicka e-post via funktionen för direkt skickande. De utnyttjar den smarta värden hos det målinriktade företaget (t.ex. company-com.mail.protection.outlook.com) för att skicka e-post som ser ut att vara interna. Denna metod kräver ingen autentisering, vilket gör att angripare kan kringgå säkerhetsåtgärder som SPF, DKIM och DMARC.
Här är ett exempel på ett PowerShell-kommando som används i dessa attacker:
Send-MailMessage -SmtpServer company-com.mail.protection.outlook.com -To carl@company.com -From bertil@company.com -Subject "New Missed Fax-msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtmlDetta kommando skickar ett e-postmeddelande som ser ut att komma från en intern adress, vilket ökar chansen att mottagaren litar på meddelandet och följer de skadliga instruktionerna.
Hur man skyddar sig mot dessa attacker
För att minska riskerna med direkt skickande bör organisationer vidta flera åtgärder. Varonis föreslår att man aktiverar inställningen ”Avvisa direkt skicka” i Exchange Admin Center, som introducerades av Microsoft i april 2025. Denna inställning blockerar e-postmeddelanden som misslyckas med autentisering.
Organisationer bör också genomdriva en strikt DMARC-policy (p=reject), flagga oautentiserade interna meddelanden för granskning eller karantän, och aktivera anti-spoofing-policyer. Utbildning av anställda att känna igen phishingförsök, särskilt de som involverar QR-koder, är avgörande.
Framåtblickande
Microsoft är medveten om säkerhetsriskerna med funktionen för ”direkt skicka” och arbetar på sätt att fasa ut den. Företaget rekommenderar att endast avancerade användare bör använda denna funktion, eftersom dess säkerhet beror på korrekt konfiguration och hantering.
När phishingattacker blir mer sofistikerade är behovet av starka e-postsäkerhetsåtgärder kritiskt. Den pågående missbruket av ”direkt skicka” understryker nödvändigheten av kontinuerlig övervakning och anpassning av säkerhetspraxis för att skydda mot utvecklande hot.
Avslutande tankar
Missbruket av Microsoft 365:s funktion för direkt skicka belyser den föränderliga naturen av phishinghot och behovet av robusta säkerhetsåtgärder. När angripare fortsätter att utnyttja denna funktion måste organisationer anpassa sig genom att implementera strikta säkerhetsprotokoll och utbilda anställda om potentiella phishingtaktiker. Microsofts insatser för att avveckla funktionen för ”direkt skicka” och införandet av nya säkerhetsinställningar är steg i rätt riktning. Ansvarigheten ligger dock också hos organisationerna att säkerställa att dessa åtgärder effektivt implementeras och underhålls.
Referenser
Microsoft 365 ‘Direct Send’ abused to send phishing as internal users. 2025, BleepingComputer https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/
