Phishing-campagne weeft rond Microsoft geautomatiseerde e-mailfiltering
Onderzoekers van cyberbeveiligingsbedrijf Armorblox ontdekten een nieuwe sluwe phishing-campagne die zich voordeed als infosec-bedrijf Proofpoint en Microsoft- en Google-pagina's spoofte.
De campagne gebruikt verschillende slimme social engineering-trucs om slachtoffers aan te moedigen om te klikken. Volgens rapporten was het zwaartepunt van de aanval gericht op een groot communicatiebedrijf met een wereldwijde aanwezigheid.
De hoofdtekst van de tekst beweert dat de link erin een zeer veilig bestand bevat dat via Proofpoint is verzonden. De e-mails gebruikten onderwerpen over hypotheken en bevatten "Re:" in hun onderwerpregels, waardoor de illusie werd gewekt van een eerder bestaand, lopend gesprek, wat slachtoffers verder helpt om op de kwaadaardige links in de e-mail te klikken.
Zodra het slachtoffer op de link in de phishingmail klikt, wordt het doorgestuurd naar een hacker-controller-pagina die de branding en het ontwerp van Proofpoint nabootst. Op de valse Proofpoint-pagina staan inloglinks waarmee de gebruiker zijn of haar Google- of Office 365-inloggegevens kan invoeren, in de hoop dat ze bij het bestand komen dat naar verluidt in de e-mail zou zitten.
De vervalste inlogpagina's, voor respectievelijk Google en Microsoft's Office 365, verzamelden e-mails en wachtwoorden van gebruikers.
Een ander merkwaardig detail over deze campagne is dat de e-mails erin slaagden de e-mailbeveiligingsfiltering van Microsoft te ontwijken. Dit was mogelijk omdat de e-mails afkomstig waren van een adres van een echt brandweerkantoor in Frankrijk, dat al was gecompromitteerd door de slechte actoren die de campagne voerden.
Dit incident dient om het bewustzijn van de gevaren van slimme social engineering opnieuw te vergroten en hoe gemakkelijk het is om in een ernstige val te trappen die grote gevolgen en repercussies kan hebben voor het bedrijf of de entiteit, als gevolg van een enkele fout van een enkele werknemer.
