Cybercrooks anvender Google-formularer til at udtrække login-legitimationsoplysninger fra ikke-antagende Office 365-brugere

Bortset fra nogle få undtagelser har angreb på en organisation potentialet til at være meget mere rentabelt end at angribe en hjemmebruger. Erhvervsvirksomheder har meget mere at tabe. De behandler virksomheds- og kundedata, som de ikke ønsker at se kompromitteret, og for det meste ved de, at det at få deres systemer hacket kan have store konsekvenser. I lyset af dette kunne du måske tro, at det med succes at hacking en forretningsorganisation kræver meget mere sofistikering. En nylig phishing-kampagne, som Cofense skrev om, viser imidlertid, at dette ikke altid er tilfældet.

Office 365-brugere målrettet mod en phishing-kampagne

Cofenses eksperter sagde, at de har set en markant stigning i antallet af phishing-e-mails rettet mod Office 365-brugere, der arbejder for virksomheder i alle former og størrelser. Kampagnen, de undersøgte nærmere, startede med et andet angreb.

Crooks formåede på en eller anden måde at kompromittere en e-mail-konto for en person, der arbejder for CIM Finance, et finansselskab. Efter det første angreb brugte de kriminelle CIM Finance systemer til at sende et stort antal phishing-e-mails, og det faktum, at meddelelserne kom fra et rigtigt firma, hjalp dem med at gennemgå antispoefingchecks som DKIM og SPF.

E-mails selv kommer angiveligt fra et "IT-virksomhedshold", der advarer modtageren om udløbet af deres Office 365-konto. I meddelelsen hedder det, at brugeren skal opdatere sin adgangskode, hvis de ikke ønsker at se deres konto suspenderet. Som du måske allerede har gættet, fører knappen "Opdater nu" til en side, der ikke er forbundet til Office 365 på nogen måde.

I stedet ser ofrene en login-side oprettet med Google Formularer, der maskerer sig som Microsofts egne og beder brugeren om deres legitimationsoplysninger. Alt, der indtastes i felterne, sendes til skurkerne ved hjælp af en anden gratis service, der tilbydes af verdens foretrukne søgemaskigigant - Google Drive.

Et groft angreb, der kunne være meget effektivt

Skurkerne lagde ikke en stor indsats i angrebet. Det faktum, at de starter med at gå på kompromis med en konto i et legitimt firma, kan måske narre dig til at tro, at de ved, hvad de laver, men samlet set har de ikke vist det sofistikerede niveau, som du måske havde forventet af en gruppe kriminelle forsøger at angribe forretningsbrugere.

Ved f.eks. At bruge Google Forms til at sammensætte phishing-siden lykkedes det skurkerne at spare nogle få bukke, men dette gjorde intet for at få svindlen til at se mere legitim ud. Faktisk vil en side, der betjenes af en Google-tjeneste, vise et grønt låsikon i adresselinjen, hvilket måske bare narrer nogle mennesker. Så igen installerer mindre dovne phishere SSL-certifikater på deres omhyggeligt udformede phishing-sæt alligevel, så dette er ikke meget til fordel.

Den falske loginformular blev beskrevet som "substandard" af Cofense forskere, hvilket ikke rigtig er en overraskelse i betragtning af de begrænsninger, Google Forms har. Eksperterne sagde, at layoutet langt fra er overbevisende, og at nogle formaterings- og aktiveringsfejl giver svindlen ret hurtigt væk. Det faktum, at når en bruger indtaster deres adgangskode i feltet, det kommer ud som almindelig tekst, er det sikker på, at det også sætter en hel alarmklokke på. Eller vil det?

Uden tvivlskygge er dette langt fra det mest sofistikerede phishing-angreb, men den blotte kendsgerning, at det eksisterer, viser, at skurkerne satser på dets succes. Enhver phishing-kampagne er afhængig af folks manglende placering af de til tider åbenlyse tegn på en fidus, og terabyte på terabyte af stjålne brugernavne og adgangskoder, der sælges på de underjordiske markeder hver dag, viser, at dette sker oftere end det burde. Intet angreb, uanset hvor dårligt udført det måtte se ud, skal undervurderes.