Hackere Forsøg på at stjæle login-data fra Microsoft-kontoen ved hjælp af en smart Google Drive-fidus
Nogle loginoplysninger er mere værdifulde end andre, og ikke overraskende er phishing-angreb rettet mod de vigtige konti en tendens til at være meget mere sofistikerede og gennemtænkte. I januar snublede forskere fra Check Point over en phishing-kampagne, som de kun skrev om på tirsdag, og de viste os, hvor vanskeligt at opdage de veludformede angreb kunne være.
Table of Contents
Svindlere forsøgte at stjæle brugernes Office 365-legitimationsoplysninger med et smart phishing-angreb
E-mails blev sendt til ansatte i organisationer, der bruger Office 365. Først ville meddelelsen omdirigere offeret til en cloud-hostet PDF-fil, der indeholdt et link, der angiveligt fører til et delt dokument, som medarbejderen er interesseret i. Linket omdirigerede til hvad ligner en SharePoint-login-side, der bad brugeren om at logge på. De kunne gøre det enten med deres Office 365-legitimationsoplysninger eller med deres organisations-ID. Uanset hvilken mulighed de valgte, en popup med en overbevisende udseende Microsoft login-formular vises, og alle oplysninger, de indtastede i den, vil blive sendt direkte til skurkerne.
Hvis du går gennem Check Point's skærmbilleder, vil du se, at de grammatiske og stavefejl, som vi ofte forbinder med phishing-angreb, intet kan ses. Formateringen er stort set nøjagtigt den samme som originalen, og gennem hele operationen kan brugere let blive narret over, at de virkelig er ved at logge ind på deres Microsoft-konti. Hvad mere er, når de først har indtastet deres loginoplysninger, omdirigeres de til en ægte rapport fra et globalt konsulentfirma, som kunne gøre alt endnu mere troværdigt. Dette er ikke det eneste, der får dette angreb til at skille sig ud fra resten.
Phisherne brugte Googles cloud-tjenester i vid udstrækning
Den første PDF, ofrene så, blev hostet på Google Drive. Den SharePoint-imiterende side, den linkede til, var også blevet uploadet til Googles cloud-hostingtjenester, og det var også den ondsindede loginformular.
Det er klart, at det at se en Microsoft-login-side, der er vært på infrastruktur ejet af Google, ikke er normalt, men svindlerne vidste, at få brugere har en tendens til at være meget opmærksomme på adresselinjen, når de indtaster deres loginoplysninger. De vidste også, at dem, der gør det, er mindre tilbøjelige til at blive mistænkelige, hvis de ser et domæne, de genkender.
Ved at bruge Googles tjenester formår phisherne også at undgå nøje kontrol både fra automatiserede værktøjer og fra systemadministratorer, der overvåger medarbejdernes aktiviteter. Alt i alt gjorde brugen af Googles sky angrebet meget mere sandsynligt at lykkes.
Angrebet blev organiseret af en gruppe erfarne phishere
Niveauet af raffinement demonstreret af phisherne burde ikke være så overraskende i betragtning af hvor meget erfaring de har. Kort efter opdagelsen af angrebet underrettede forskerne Google, og de ondsindede sider blev fjernet. Før de gik offline, kiggede Check Punkts eksperter imidlertid igennem kildekoden og bemærkede, at selv om siderne var vært på Googles sky, blev størstedelen af ressourcerne indlæst fra prvtsmtp [.] Com, et eksternt domæne.
Domænet pegede på en ukrainsk server, der er blevet brugt i ganske mange phishing-kampagner. Først var det vært for de ondsindede sider, og det var senere en del af infrastrukturen under angreb, der brugte Microsofts Azure sky-tjenester.
Check Punkts forskere hjalp med at stoppe det angreb, de opdagede i januar, men det er usandsynligt, at de vil stoppe den erfarne gruppe phishere, der står bag det for godt. Den eneste tid vil vise, hvad cyberkriminelle næste træk vil være. I mellemtiden skal medarbejdere overalt i verden være særlig omhyggelige med, hvor og hvornår de indtaster deres loginoplysninger.
