A Cybercrooks alkalmazza a Google űrlapokat a bejelentkezési adatok kicsomagolására az öngyilkosságú Office 365 felhasználók számára

Néhány kivételtől eltekintve, egy szervezet megtámadása sokkal jövedelmezőbb lehet, mint egy otthoni felhasználó megtámadása. Az üzleti vállalkozásoknak sokkal többet kell veszíteniük. Olyan vállalati és ügyféladatokat dolgoznak fel, amelyeket nem akarnak veszélyeztetni, és többnyire tudják, hogy a rendszerük feltörése komoly következményekkel járhat. Ennek fényében azt gondolhatja, hogy egy üzleti szervezet sikeres hackelése sokkal kifinomultabb feladatot igényel. A közelmúltbeli adathalász kampány, amelyről a Cofense írt, azonban azt mutatja, hogy nem mindig ez a helyzet.

Az Office 365 felhasználói adathalász kampány által célzott felhasználók

A Cofense szakértői szerint észrevehetően megnőtt az adathalász e-mailek száma az Office 365 felhasználók számára, bármilyen alakú és méretű vállalkozás számára. A közelebbről megvizsgált kampány újabb támadással indult.

A csalóknak valahogy sikerült veszélybe sodorniuk a CIM Financenél, a pénzügyi szolgáltató társaságnál dolgozó személy e-mail fiókját. Az első támadás után a bűnözők a CIM Finance rendszereivel nagyszámú adathalász e-mailt küldtek, és az a tény, hogy az üzenetek valódi társaságból érkeztek, elősegítette a hamisítás elleni ellenőrzések, például a DKIM és az SPF áthaladását.

Állítólag maguk az e-mailek egy "informatikai vállalati csapattól" származnak, amely figyelmezteti a címzettet az Office 365-fiókjuk lejártáról. Az üzenet kimondja, hogy a felhasználónak frissítenie kell a jelszavát, ha nem akarja, hogy fiókját felfüggesztették. Mint már gondoltad, a „Frissítés most” gomb olyan oldalra vezet, amelyhez semmilyen módon nem kapcsolódik az Office 365.

Ehelyett az áldozatok a Google Forms segítségével létrehozott bejelentkezési oldalt látják, amely a Microsoft sajátévá maszkolódik, és kéri a felhasználót a hitelesítő adataik beszerzéséhez. A mezőkbe bevitt bármit a világ kedvenc keresőmotor-óriása - a Google Drive - által nyújtott másik ingyenes szolgáltatás segítségével továbbítják a bűnözőknek.

Nyers támadás, amely nagyon hatékony lehet

A csalók nem sok erőfeszítést tettek a támadásba. Az a tény, hogy azzal kezdik el, hogy kompromittálnak egy törvényes társaságnál a számlát, rágalmazhatja Önt, hogy azt gondolja, hogy tudják, mit csinálnak, ám összességében nem mutatták meg azt a kifinomultsági szintet, amelyet elvárhattak egy bűnözői csoporttól. megpróbál támadni az üzleti felhasználókat.

Például a Google Forms segítségével az adathalász oldal összeállításához a csalóknak valószínűleg sikerült néhány dollárt megtakarítani, de ez nem tett semmit a csalás jogszerűbbé tétele érdekében. Valójában egy Google szolgáltatás által kiszolgált oldal zöld címet mutat a ikonra a címsorban, ami egyesek becsapását okozhatja. A kevésbé lusta adathalászok egyébként is telepítik az SSL tanúsítványokat a gondosan kidolgozott adathalászkészletekbe, így ez nem sok előnye.

A hamis bejelentkezési űrlapot a Cofense kutatói "alacsony színvonalúnak" nevezték, ami valójában nem meglepő, figyelembe véve a Google Forms korlátozásait. A szakértők szerint az elrendezés messze nem meggyőző, és néhány formázási és nagybetűs hiba elég gyorsan elrontja a csalást. Az a tény, hogy amikor a felhasználó beírja a jelszavát a mezőbe, egyszerű szövegként jelenik meg, az biztos, hogy sok riasztási csengőt is elindít. Vagy lesz?

Kétségtelen árnyék nélkül ez messze van a legkifinomultabb adathalász támadástól, de pusztán az a tény, hogy létezik, azt mutatja, hogy a csalók a sikerére fogadnak. Bármely adathalász kampány arra utal, hogy az emberek nem tudják észrevenni a csalások néha nyilvánvaló jeleit, és a földalatti piacokon minden nap kereskedelmileg elhelyezett lopott felhasználónevek és jelszavak terabyte-jain megmutatkoznak, hogy ez gyakrabban fordul elő, mint kellene. Nem szabad alábecsülni a támadást, függetlenül attól, hogy milyen rosszul hajtja végre.