Cybercrooks benytter Google-skjemaer for å hente ut påloggingsinformasjon fra intetanende Office 365-brukere

Med noen unntak kan det å angripe en organisasjon potensialet til å være mye mer lønnsomt enn å angripe en hjemmebruker. Forretningsbedrifter har mye mer å tape. De behandler bedrifts- og kundedata som de ikke ønsker å se kompromittert, og for det meste vet de at det å få systemene deres hacket kan ha store konsekvenser. I lys av dette kan du tenke at å hake en bedriftsorganisasjon for å lykkes, krever mye mer raffinement. En fersk phishing-kampanje som Cofense skrev om, viser imidlertid at dette ikke alltid er tilfelle.

Office 365-brukere målrettet etter en phishing-kampanje

Cofenses eksperter sa at de har sett en markant økning i antall phishing-e-poster rettet mot Office 365-brukere som jobber for bedrifter i alle størrelser og størrelser. Kampanjen de undersøkte nærmere startet med nok et angrep.

Crooks klarte på en måte å kompromittere en e-postkonto til en person som jobber for CIM Finance, et finansselskaps selskap. Etter det første angrepet brukte de kriminelle CIM Finance sine systemer for å sende ut et stort antall phishing-e-poster, og det faktum at meldingene kom fra et ekte selskap hjalp dem å passere antispoefing-sjekker som DKIM og SPF.

E-postene selv kommer angivelig fra et "IT-bedriftsgruppe" som varsler mottakeren om utløpet av Office 365-kontoen. Meldingen sier at brukeren må oppdatere passordet sitt hvis de ikke ønsker å se kontoen sin suspendert. Som du kanskje allerede har gjettet, fører "Oppdater nå" -knappen til en side som ikke er koblet til Office 365 på noen måte.

I stedet ser ofrene en påloggingsside opprettet med Google Forms som maskerer seg som Microsofts egne og ber brukeren om legitimasjon. Alt som er lagt inn i feltene blir sendt til kjeltringene ved hjelp av en annen gratis tjeneste som tilbys av verdens favoritt søkemotorgigant - Google Drive.

Et råangrep som kan være veldig effektivt

Crooks la ikke mye krefter i angrepet. At de starter med å gå på akkord med en konto hos et legitimt selskap, kan lure deg til å tro at de vet hva de gjør, men samlet sett har de ikke vist det raffinementet du kanskje hadde forventet av en gruppe kriminelle prøver å angripe forretningsbrukere.

Ved å bruke Google Forms for å sette sammen phishing-siden, klarte nok skurkene å spare noen få dollar, men dette gjorde ingenting for å få svindelen til å se mer legitim ut. Faktisk vil en side som serveres av en Google-tjeneste vise et grønt låseikon i adressefeltet, noe som kanskje bare lurer noen mennesker. Så igjen, mindre late phishers installerer SSL-sertifikater på sine nøye utformede phishing-sett uansett, så dette er ikke mye av en fordel.

Den falske påloggingsformen ble beskrevet som "substandard" av Cofenses forskere, noe som egentlig ikke er en overraskelse med tanke på begrensningene Google Forms har. Ekspertene sa at oppsettet langt fra er overbevisende, og at noen formaterings- og store bokstaver feil gir svindelen ganske raskt. Det faktum at når en bruker oppgir passordet sitt i feltet, det kommer ut som ren tekst, er det sikkert å sette av ganske mange alarmklokker også. Eller vil det?

Uten tvil er det langt fra det mest sofistikerte phishing-angrepet, men det faktum at det eksisterer, viser at skurkene satser på suksessen. Enhver phishing-kampanje er avhengig av at folk ikke oppdager de til tider åpenbare tegnene på svindel, og terabytene på terabyte med stjålne brukernavn og passord som blir solgt på underjordiske markeder hver dag, viser at dette skjer oftere enn det burde. Ingen angrep, uansett hvor dårlig utført det kan se ut, skal undervurderes.