Фишинговое мошенничество с Microsoft 365
Исследователи охранной компании Cofense опубликовали отчет с подробным описанием продолжающейся фишинговой кампании, нацеленной на подрядчиков правительства США.
По данным команды Cofense, этот тип кампании был активен с теми или иными перерывами с середины 2019 года. Кампании характеризуются высоким уровнем полировки и вниманием к деталям, чего нет в большинстве фишинговых атак, а атаки были обнаруживаются в системах, находящихся за безопасными почтовыми шлюзами, что подразумевает необычный уровень сложности.
Мошеннические электронные письма выдаются за электронные письма Министерства труда США и содержат вложение, которое выдает себя за «приглашение к участию в торгах». Чтобы повысить доверие к фишинговым электронным письмам, стоящие за ними злоумышленники начали использовать доменные имена .gov для отправителя. Последняя эволюция продолжающейся аферы также использует ссылки на поддельные документы вместо того, чтобы прикреплять их к электронному письму.
Фальшивое приглашение на торги завершается кнопкой с надписью «СТАВКА». При нажатии на нее открывается вредоносный веб-сайт, который также использует расширение домена, что делает его законным или управляемым правительством. Фишинговая форма входа утверждает, что она работает только с данными для входа в Microsoft Office. После ввода учетных данных мошенники просят повторить вход, чтобы «проверить» данные. Процесс фишинга заканчивается текстовым полем ввода, напоминающим капчу.
Конечно, ввод учетных данных для входа в MS Office в этой форме просто перекачает их лицу, запустившему мошенническую схему. Учитывая изощренность подобных мошенничеств, обучение сотрудников и максимальное ограничение человеческих ошибок остаются критически важными.