Μια νέα και πολύ πειστική phishing εκστρατεία χρησιμοποιεί ψεύτικες ειδοποιήσεις του Office 365 που ζητούν από τους παραλήπτες να ελέγξουν μπλοκαρισμένα spam μηνύματα, με τελικό στόχο την κλοπή των Microsoft credentials.
Αυτό που κάνει αυτά τα phishing emails ιδιαίτερα πειστικά είναι η χρήση του quarantine[at]messaging.microsoft.com για την αποστολή τους σε πιθανούς στόχους και το εμφανιζόμενο όνομα, που ταιριάζει με τα domains των παραληπτών.
Δείτε επίσης: Hackers εκμεταλλεύονται τη μετάλλαξη Omicron για phishing επιθέσεις
Επιπλέον, οι επιτιθέμενοι έχουν ενσωματώσει το επίσημο λογότυπο του Office 365 και έχουν συμπεριλάβει στο τέλος του phishing μηνύματος, συνδέσμους προς την πολιτική απορρήτου της Microsoft και την πολιτική αποδεκτής χρήσης.
Τα παραπάνω στοιχεία κάνουν τα emails να φαίνονται νόμιμα, όμως μια προσεκτική εξέταση μπορεί να κινήσει υποψίες στον παραλήπτη. Τα μηνύματα έχουν κάποια προβλήματα που σχετίζονται με τη μορφοποίηση του κειμένου. Αυτά πολλές φορές αποτελούν ένδειξη κακόβουλης δραστηριότητας.
“Το θέμα του email είναι “Spam Notification: 1 New Messages“, που παραπέμπει στο κύριο μέρος του μηνύματος που ενημερώνει τον παραλήπτη ότι ένα spam μήνυμα έχει αποκλειστεί και κρατείται σε καραντίνα μέχρι να ελεγχθεί“, είπε ο πάροχος ασφάλειας email MailGuard.
Οι φορείς της phishing εκστρατείας χρησιμοποιούν και το όνομα του στόχου και συνήθως αναφέρουν ότι το spam email σχετίζεται με ένα οικονομικό ζήτημα για να δημιουργήσουν στον παραλήπτη την αίσθηση ότι πρόκειται για κάτι σημαντικό και επείγον και να αυξήσουν τις πιθανότητες να ανοίξει το μήνυμα και να δώσει τα credentials του.
Οι στόχοι έχουν προθεσμία 30 ημέρες για να ελέγξουν τα μηνύματα σε καραντίνα, μεταβαίνοντας στο Security and Compliance Center της Microsoft. Αυτό μπορούν να το κάνουν, κάνοντας κλικ σε έναν ενσωματωμένο σύνδεσμο.
Δείτε επίσης: Μια απλή τεχνική ενισχύει τις εκστρατείες phishing για τη διάδοση malware
Ωστόσο, όταν το θύμα κάνει κλικ στο Review, δεν οδηγείται στο Office 365 portal, αλλά σε ένα phishing site που του ζητά να εισαγάγει τα Microsoft credentials του για να αποκτήσει πρόσβαση στα quarantined spam emails.
Τα credentials που εισάγονται στο phishing site, αποστέλλονται σε servers που ελέγχονται από τους φορείς της phishing εκστρατείας.
Οι εγκληματίες στη συνέχεια, μπορούν να χρησιμοποιήσουν τα Microsoft credentials για να μπουν στους λογαριασμούς των θυμάτων και να αποκτήσουν πρόσβαση σε όλες τις πληροφορίες τους.
“Η παροχή των στοιχείων του Microsoft λογαριασμού σας σε εγκληματίες του κυβερνοχώρου σημαίνει ότι έχουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα σας, όπως στοιχεία επικοινωνίας, ημερολόγια, επικοινωνίες μέσω email και άλλα“, πρόσθεσε η MailGuard.
Δείτε επίσης: Phishing εκστρατεία χρησιμοποίησε τη Samsung για να στοχεύσει εταιρείες cybersecurity
Οι χρήστες του Office 365 γίνονται συχνά στόχος phishing επιθέσεων, που προσπαθούν να συλλέξουν credentials για να τα χρησιμοποιήσουν οι επιτιθέμενοι σε άλλες κακόβουλες δραστηριότητες.
Η Microsoft αποκάλυψε τον Αύγουστο ότι μια spear-phishing εκστρατεία στόχευε πελάτες του Office 365 από τον Ιούλιο του 2020.
Τον Μάρτιο, η εταιρεία προειδοποίησε επίσης για μια επιχείρηση phishing που έκλεψε περίπου 400.000 OWA και Office 365 credentials από τον Δεκέμβριο του 2020.
Πηγή: Bleeping Computer