Oszustwo phishingowe na platformie Microsoft 365

Badacze z firmy ochroniarskiej Cofense opublikowali raport szczegółowo opisujący trwającą kampanię phishingową wymierzoną w podwykonawców rządu USA.

Według zespołu Cofense tego typu kampania jest aktywna z przerwami w jakiejś formie od połowy 2019 roku. Kampanie charakteryzują się wysokim poziomem dopracowania i dbałością o szczegóły, czego nie widać w większości ataków phishingowych, a ataki zostały zauważone w systemach znajdujących się za bezpiecznymi bramami pocztowymi, co sugeruje niezwykły poziom zaawansowania.

Oszukańcze e-maile udają e-maile z Departamentu Pracy Stanów Zjednoczonych i zawierają załącznik, który stanowi „zaproszenie do składania ofert”. Aby zwiększyć wiarygodność wiadomości phishingowych, stojący za nimi cyberprzestępcy zaczęli używać nazw domen .gov dla nadawcy. Najnowsza ewolucja trwającego oszustwa wykorzystuje również linki do fałszywych dokumentów zamiast załączania ich w wiadomości e-mail.

Fałszywe zaproszenie do licytacji kończy się przyciskiem z napisem „BID”. Kliknięcie tego powoduje otwarcie złośliwej witryny, która również korzysta z rozszerzenia domeny, dzięki czemu wygląda na legalną lub jest prowadzona przez rząd. Formularz logowania do phishingu twierdzi, że działa tylko z danymi logowania Microsoft Office. Po wprowadzeniu danych uwierzytelniających oszuści proszą o ponowne wprowadzenie w celu „weryfikacji” danych. Proces phishingu kończy się w polu wprowadzania tekstu przypominającym captcha.

Oczywiście, wprowadzenie danych logowania do MS Office w tym formularzu po prostu wyssa je do podmiotu prowadzącego oszustwo. Biorąc pod uwagę złożoność podobnych oszustw, szkolenie pracowników i ograniczanie błędów ludzkich w jak największym stopniu pozostają kluczowe.