Microsoft предупредила клиентов Office 365 о том, что они становятся объектом широкомасштабной фишинговой кампании, направленной на получение имен пользователей и паролей.
Текущая фишинговая кампания использует несколько ссылок; нажатие на них приводит к серии перенаправлений, которые приводят жертв на страницу Google reCAPTCHA, которая ведет на поддельную страницу входа, на которой украдены учетные данные Office 365.
ZDNet рекомендует
Лучшая киберстраховка
Индустрия киберстрахования, вероятно, станет мейнстримом и требует простых затрат на ведение бизнеса. Вот несколько вариантов, которые стоит рассмотреть.
Подробнее
Эта конкретная атака основана на инструменте продаж и маркетинга по электронной почте, называемом «открытая переадресация», которым в прошлом злоупотребляли для перенаправления посетителя в надежный пункт назначения на вредоносный сайт. Google не оценивает открытые перенаправления для URL-адресов Google как уязвимость системы безопасности, но отображает в браузере «уведомление о перенаправлении».
ПОСМОТРЕТЬ: Программа-вымогатель: этот новый бесплатный инструмент позволяет вам проверить, достаточно ли сильна ваша кибербезопасность, чтобы остановить атаку
Microsoft предупреждает, что эта функция является используется злоумышленниками.
«Однако злоумышленники могут использовать открытые перенаправления для ссылки на URL-адрес в доверенном домене и встраивать конечный вредоносный URL-адрес в качестве параметра. Такое злоупотребление может помешать пользователям и решениям безопасности быстро распознать возможные злонамеренные намерения», команда Microsoft 365 Defender Threat Intelligence предупреждает.
Уловка этой атаки основана на совете пользователям наводить курсор на ссылку в электронном письме, чтобы проверить место назначения, прежде чем нажимать.
«Когда получатели наводят курсор на ссылку или кнопку в электронном письме, им отображается полный URL-адрес. Однако, поскольку субъекты устанавливают открытые ссылки перенаправления с использованием законной службы, пользователи видят законное доменное имя, которое "вероятно, связан с компанией, которую они знают и которой доверяют. Мы считаем, что злоумышленники злоупотребляют этой открытой и авторитетной платформой, пытаясь избежать обнаружения, перенаправляя потенциальных жертв на фишинговые сайты", — предупреждает Microsoft.
«Пользователи, обученные наведению курсора на ссылки и проверке вредоносных артефактов в электронных письмах, могут по-прежнему видеть домен, которому они доверяют, и, таким образом, щелкать по нему», — говорится в сообщении.
Microsoft обнаружила более 350 уникальных фишинговых доменов, используемых в этой кампании, в том числе бесплатные домены электронной почты, взломанные домены и домены, автоматически созданные алгоритмом генерации доменов злоумышленника. Заголовки тем электронного письма были адаптированы к инструменту, от имени которого злоумышленник выдавал себя, например календарному предупреждению о собрании Zoom, спам-уведомлению Office 365 или уведомлению о широко используемой, но неразумной политике истечения срока действия пароля.
Хотя открытая переадресация не новость, Microsoft решила эту проблему, заметив в августе фишинговую кампанию, основанную на поддельных URL-адресах Microsoft.
Проверка Google reCaptcha повышает очевидную легитимность сайта, поскольку обычно используется веб-сайтами для подтверждения того, что пользователь не является ботом. Однако в этом случае пользователь был перенаправлен на страницу, которая выглядит как классная страница входа в систему Microsoft и в конечном итоге ведет на легитимную страницу от Sophos, которая действительно предоставляет услугу для обнаружения этого типа фишинг-атаки.
СМОТРЕТЬ: Парадокс конфиденциальности: как компании могут использовать личные данные, одновременно защищая конфиденциальность пользователей?
«Если пользователь вводит свой пароль, страница обновится и отобразит сообщение об ошибке, в котором указано, что время ожидания страницы истекло или пароль был неверным, и что они должны ввести свой пароль еще раз. Это, вероятно, сделано для того, чтобы заставить пользователя ввести свой пароль дважды, что позволяет злоумышленникам убедиться, что они получили правильный пароль.
"Как только пользователь вводит свой пароль во второй раз, страница перенаправляется на законный веб-сайт Sophos, который утверждает, что сообщение электронной почты было выпущено. Это добавляет еще один уровень ложной легитимности к фишинговой кампании ».
Google говорит об открытых перенаправлениях, что это не уязвимость системы безопасности, хотя и признает, что ее можно использовать для запуска других уязвимостей. Google оспаривает идею о том, что наведение курсора на ссылку в приложении для просмотра целевого URL-адреса является полезным советом по осведомленности о фишинге.
«Открытые перенаправители перенаправляют вас с URL-адреса Google на другой веб-сайт, выбранный тем, кто создал ссылку. Некоторые члены сообщества безопасности утверждают, что перенаправители помогают фишингу, потому что пользователи могут быть склонны доверять всплывающей подсказке при наведении мыши на ссылку, а затем не проверять адресную строку после того, как происходит переход.
"Мы считаем, что всплывающие подсказки не являются надежным индикатором безопасности и могут быть изменены разными способами; поэтому мы инвестируем в технологии для обнаружения и предупреждения пользователей о фишинге и злоупотреблениях, но в целом мы придерживаемся что небольшое количество правильно контролируемых перенаправителей предлагает довольно очевидные преимущества и представляет очень небольшой практический риск ».
