Cybercrooks anställer Google-formulär för att extrahera inloggningsuppgifter från att inte fundera på Office 365-användare

Uteslutande av några undantag kan attackera en organisation ha potential att vara mycket mer lönsam än att attackera en hemanvändare. Företagsföretag har mycket mer att förlora. De bearbetar företags- och kunddata som de inte vill se komprometterade, och för det mesta vet de att det kan få stora konsekvenser att få sina system hackade. Mot bakgrund av detta kanske du tror att framgångsrikt hacking av en affärsorganisation kräver mycket mer sofistikerad. En ny phishing-kampanj som Cofense skrev om visar dock att detta inte alltid är fallet.

Office 365-användare riktade mot en phishing-kampanj

Cofenses experter sa att de har sett en märkbar ökning av antalet phishing-e-postmeddelanden riktade till Office 365-användare som arbetar för företag i alla former och storlekar. Kampanjen de granskade närmare började med en annan attack.

Skurkarna lyckades på något sätt kompromissa med ett e-postkonto för en person som arbetar för CIM Finance, ett finansföretag. Efter den första attacken använde brottslingarna CIM Finance: s system för att skicka ut ett stort antal phishing-e-postmeddelanden, och det faktum att meddelandena kom från ett riktigt företag hjälpte dem att gå igenom anti-spoofing-kontroller som DKIM och SPF.

Själva e-postmeddelandena kommer från ett "IT-företagsteam" som varnar mottagaren om att deras Office 365-konto löper ut. I meddelandet anges att användaren måste uppdatera sitt lösenord om de inte vill se sitt konto inställt. Som du redan har gissat leder knappen "Uppdatera nu" till en sida som inte är ansluten till Office 365 på något sätt.

I stället ser offren en inloggningssida skapad med Google Forms som maskeras som Microsofts egen och ber användaren om deras referenser. Allt som anges i fälten skickas till skurkarna med hjälp av en annan gratis tjänst som erbjuds av världens favorit sökmotor jätten - Google Drive.

En rå attack som kan vara mycket effektiv

Skurkarna ansträngde sig inte mycket för attacken. Det faktum att de börjar med att kompromissa med ett konto hos ett legitimt företag kan lura dig att tro att de vet vad de gör, men totalt sett har de inte visat den sofistikerade nivån som du kan ha förväntat dig av en grupp kriminella försöker attackera företag.

Genom att använda Google Forms för att sätta ihop phishing-sidan, till exempel, lyckades skurkarna spara några få dollar, men detta gjorde ingenting för att få bedrägeriet att se mer legitimt ut. Faktum är att en sida som betjänas av en Google-tjänst visar en grön låsikon i adressfältet, vilket kanske bara lurar vissa människor. Återigen, mindre lata phishers installerar SSL-certifikat på sina noggrant utformade phishing-satser ändå, så det är inte mycket av en fördel.

Den falska inloggningsformuläret beskrevs som "undermålig" av Cofenses forskare, vilket egentligen inte är en överraskning med tanke på de begränsningar som Google Forms har. Experterna sade att layouten är långt ifrån övertygande och att vissa formaterings- och aktiveringsfel gör att bedrägerierna bort ganska snabbt. Det faktum att när en användare anger sitt lösenord i fältet, det kommer ut som vanlig text är det säkert att sätta igång en hel larmklocka också. Eller kommer det?

Utan tvekan är detta långt ifrån den mest sofistikerade phishing-attacken, men det faktum att det finns visar att skurkarna satsar på dess framgång. Varje phishing-kampanj förlitar sig på människors misslyckande med att upptäcka de ibland uppenbara tecken på en bedrägeri, och terabyte på terabyte av stulna användarnamn och lösenord som handlas på de underjordiska marknaderna varje dag visar att detta händer oftare än det borde. Ingen attack, oavsett hur dåligt utförd den kan se ut, bör underskattas.