Cybercrooks gebruiken Google-formulieren om inloggegevens te extraheren van nietsvermoedende Office 365-gebruikers

Een paar uitzonderingen daargelaten, kan het aanvallen van een organisatie veel winstgevender zijn dan het aanvallen van een thuisgebruiker. Ondernemingen hebben nog veel meer te verliezen. Ze verwerken bedrijfs- en klantgegevens waarvan ze niet willen dat ze worden aangetast, en voor het grootste deel weten ze dat het hacken van hun systemen grote gevolgen kan hebben. In het licht hiervan denk je misschien dat het succesvol hacken van een bedrijfsorganisatie veel meer verfijning vereist. Uit een recente phishing-campagne waarover Cofense schreef, blijkt echter dat dit niet altijd het geval is.

Office 365-gebruikers getarget door een phishingcampagne

De experts van Cofense zeiden dat ze een opmerkelijke toename hebben gezien in het aantal phishing-e-mails gericht op Office 365-gebruikers die voor bedrijven van alle soorten en maten werken. De campagne die ze nader bekeken, begon met een nieuwe aanval.

De boeven slaagden er op de een of andere manier in om een e-mailaccount te sluiten van een persoon die werkte voor CIM Finance, een bedrijf voor financiële diensten. Na de eerste aanval gebruikten de criminelen de systemen van CIM Finance om een groot aantal phishing-e-mails te verzenden, en het feit dat de berichten van een echt bedrijf kwamen, hielp hen om anti-spoofingcontroles zoals DKIM en SPF te passeren.

De e-mails zelf zijn zogenaamd afkomstig van een 'IT-bedrijfsteam' dat de ontvanger waarschuwt over het verlopen van zijn Office 365-account. In het bericht staat dat de gebruiker zijn wachtwoord moet bijwerken als hij niet wil dat zijn account wordt opgeschort. Zoals je misschien al hebt geraden, leidt de knop "Nu bijwerken" naar een pagina die op geen enkele manier is verbonden met Office 365.

In plaats daarvan zien de slachtoffers een inlogpagina gemaakt met Google Formulieren die zich voordoet als die van Microsoft en de gebruiker om hun inloggegevens vraagt. Alles wat in de velden wordt ingevoerd, wordt naar de boeven gestuurd met behulp van een andere gratis service aangeboden door 's werelds favoriete zoekmachine-gigant: Google Drive.

Een ruwe aanval die zeer effectief zou kunnen zijn

De boeven hebben niet veel moeite gestoken in de aanval. Het feit dat ze beginnen met het sluiten van een account bij een legitiem bedrijf, kan je voor de gek houden door te denken dat ze weten wat ze doen, maar over het algemeen hebben ze niet het niveau van verfijning laten zien dat je van een groep criminelen zou verwachten proberen zakelijke gebruikers aan te vallen.

Door bijvoorbeeld Google Formulieren te gebruiken om de phishing-pagina samen te stellen, wisten de boeven waarschijnlijk een paar dollar te besparen, maar dit deed niets om de zwendel legitiemer te laten lijken. Op een pagina die wordt aangeboden door een Google-service, wordt inderdaad een groen vergrendelingspictogram weergegeven in de adresbalk, waardoor sommige mensen misschien voor de gek worden gehouden. Anderzijds installeren minder luie phishers toch SSL-certificaten op hun zorgvuldig vervaardigde phishing-kits, dus dit is niet echt een voordeel.

Het valse inlogformulier werd door de onderzoekers van Cofense beschreven als "ondermaats", wat niet echt een verrassing is gezien de beperkingen die Google Formulieren heeft. De experts zeiden dat de lay-out verre van overtuigend is en dat sommige opmaak- en hoofdletterfouten de zwendel vrij snel wegnemen. Het feit dat wanneer een gebruiker zijn wachtwoord in het veld invoert, het als gewone tekst tevoorschijn komt, zal zeker ook heel wat alarmbellen veroorzaken. Of zal het?

Zonder twijfel is dit verre van de meest geavanceerde phishing-aanval, maar alleen al het feit dat het bestaat, toont aan dat de boeven wedden op het succes ervan. Elke phishingcampagne is gebaseerd op het falen van mensen om de soms voor de hand liggende tekenen van oplichting te ontdekken, en de terabytes op terabytes aan gestolen gebruikersnamen en wachtwoorden die elke dag op de ondergrondse markten worden verhandeld, laten zien dat dit vaker gebeurt dan zou moeten. Geen enkele aanval, hoe slecht uitgevoerd die er ook uitziet, moet worden onderschat.