Hackere Forsøk å stjele Microsoft-påloggingsdata ved hjelp av en smart Google Drive-svindel

Noen påloggingsinformasjon er mer verdifulle enn andre, og ikke overraskende har phishing-angrepene rettet mot de viktige kontoene en tendens til å være mye mer sofistikerte og gjennomtenkte. I januar snublet forskere fra Check Point over en phishing-kampanje, som de bare skrev om på tirsdag, og de viste oss hvor vanskelig det var å oppdage de godt designede angrepene.

Svindlere prøvde å stjele brukernes Office 365-legitimasjon med et smart phishing-angrep

E-postene ble sendt til ansatte i organisasjoner som bruker Office 365. Først ville meldingen viderekoblet offeret til en skybasert PDF-fil som inneholdt en lenke, og visstnok ville føre til et delt dokument den ansatte er interessert i. Koblingen omdirigerte til hva ser ut som en SharePoint-påloggingsside som ba brukeren om å logge på. De kunne gjøre det enten med Office 365-legitimasjon eller med organisasjons-ID-en. Uansett hvilket alternativ de valgte, vil en popup med et overbevisende utseende påloggingsskjema fra Microsoft vises, og all informasjon de skrev inn, vil bli sendt direkte til kjeltringene.

Hvis du går gjennom sjekkpunktene til Check Point, vil du se at de grammatiske og stavefeilene vi ofte forbinder med phishing-angrep, ikke er noen steder å se. Formateringen er stort sett nøyaktig den samme som originalen, og gjennom hele operasjonen kan brukere lett bli lurt at de virkelig holder på å logge seg på Microsoft-kontoene sine. Når de har skrevet inn påloggingsinformasjon, blir de omdirigert til en ekte rapport fra et globalt konsulentfirma, noe som kan gjøre alt enda mer troverdig. Dette er ikke det eneste som får dette angrepet til å skille seg ut fra resten.

Phisherne brukte Googles skytjenester i utstrakt grad

Den første PDF-en ofrene så på ble arrangert på Google Drive. Den SharePoint-upersonlige siden den lenket til, hadde også blitt lastet opp til Googles nettskyvertjenester, og det samme var den ondsinnede påloggingsformen.

Å se en Microsoft-påloggingsside som er arrangert på infrastruktur eid av Google, er selvfølgelig ikke normalt, men svindlerne visste at få brukere har en tendens til å være nøye med adresselinjen når de skriver inn påloggingsinformasjon. De visste også at de som gjør det mindre sannsynlig å bli mistenkelige hvis de ser et domene de kjenner seg igjen i.

Ved å bruke Googles tjenester klarer phisherne også å unngå nøye kontroll både fra automatiserte verktøy og fra systemadministratorer som overvåker de ansattes aktiviteter. Alt i alt gjorde bruken av Googles sky angrepet mye mer sannsynlig å lykkes.

Angrepet ble organisert av en gruppe erfarne phishere

Nivået på raffinement demonstrert av phishers bør ikke være så overraskende med tanke på hvor mye erfaring de har. Kort tid etter å ha oppdaget angrepet, varslet forskerne Google, og de ondsinnede sidene ble tatt ned. Før de gikk frakoblet, kjemmet imidlertid Check Points eksperter gjennom kildekoden og la merke til at selv om sidene var vert på Googles sky, var størstedelen av ressursene lastet fra prvtsmtp [.] Com, et eksternt domene.

Domenet pekte til en ukrainsk server som har blitt brukt i ganske mange phishing-kampanjer. Først var det vert for ondsinnede sider, og det var senere en del av infrastrukturen under angrep som benyttet Microsofts Azure skytjenester.

Sjekk Points forskere var med på å få slutt på angrepet de oppdaget i januar, men det er usannsynlig at de vil stoppe den erfarne gruppen phishere som står bak det for godt. Bare tiden vil vise hva nettkriminellens neste trekk blir. I mellomtiden må ansatte over hele verden være spesielt forsiktige med hvor og når de oppgir innloggingsinformasjon.