CarderPlanet
Professional
Пользователи Office 365 становятся жертвами широко распространенной и хитрой фишинг-кампании, направленной на кражу имен пользователей и паролей.
Атака использует несколько ссылок. Нажатие на них приводит к серии перенаправлений, которые приводят жертв на страницу Google reCAPTCHA, которая затем приводит к поддельной странице входа, на которой украдены учетные данные Office 365.
Эта конкретная атака основана на инструменте продаж и маркетинга по электронной почте, который называется «открытая переадресация».
По иронии судьбы атака основана на рекомендации пользователям навести указатель мыши на ссылку в электронном письме, чтобы проверить место назначения перед тем, как щелкнуть, что обычно показывает, является ли электронное письмо подлинным или мошенническим.
Если получатель электронной почты наведет курсор на ссылку или кнопку в электронном письме, ему будет показан полный URL-адрес. Однако, поскольку в атаках использовались открытые ссылки перенаправления с использованием законной службы, пользователи видят законное доменное имя, которое, вероятно, связано с компанией, которую они знают и которой доверяют. Однако домен веб-сайта содержит вредоносную ссылку, которая перенаправляет людей на веб-страницу, которая фиксирует их имена пользователей и пароли.
Лозунг явно учитывает ссылки, которые перенаправляют вас на другой URL-адрес, на котором отображается страница Google reCAPTCHA.
Атака использует несколько ссылок. Нажатие на них приводит к серии перенаправлений, которые приводят жертв на страницу Google reCAPTCHA, которая затем приводит к поддельной странице входа, на которой украдены учетные данные Office 365.
Эта конкретная атака основана на инструменте продаж и маркетинга по электронной почте, который называется «открытая переадресация».
По иронии судьбы атака основана на рекомендации пользователям навести указатель мыши на ссылку в электронном письме, чтобы проверить место назначения перед тем, как щелкнуть, что обычно показывает, является ли электронное письмо подлинным или мошенническим.
Если получатель электронной почты наведет курсор на ссылку или кнопку в электронном письме, ему будет показан полный URL-адрес. Однако, поскольку в атаках использовались открытые ссылки перенаправления с использованием законной службы, пользователи видят законное доменное имя, которое, вероятно, связано с компанией, которую они знают и которой доверяют. Однако домен веб-сайта содержит вредоносную ссылку, которая перенаправляет людей на веб-страницу, которая фиксирует их имена пользователей и пароли.
- Microsoft обнаружила более 350 уникальных фишинговых доменов, используемых в этой кампании, в том числе бесплатные домены электронной почты, взломанные домены и домены, автоматически созданные алгоритмом генерации доменов злоумышленника.
- На сегодняшний день заголовки сообщений электронной почты были адаптированы к инструменту, который злоумышленник выдавал за себя, например календарному предупреждению о собрании Zoom, спам-уведомлению Office 365 или уведомлению о политике истечения срока действия пароля. Если пользователь вводит свой пароль, страница обновляется и отображает сообщение об ошибке, в котором говорится, что время ожидания страницы истекло или пароль был неверным и что он должен ввести свой пароль еще раз. Скорее всего, это делается для того, чтобы пользователь дважды вводил свой пароль, чтобы злоумышленники могли убедиться, что они получили правильный пароль.
Лозунг явно учитывает ссылки, которые перенаправляют вас на другой URL-адрес, на котором отображается страница Google reCAPTCHA.
