Microsoft предупреди клиентите на Office 365, че има вероятност да са жертви на широко разпространена фишинг кампания, насочена към набиране на потребителски имена и пароли.

Текущата хакерска атака използва множество интернет връзки; кликването върху тях води до поредица от пренасочвания, които водят жертвите до страница за Google reCAPTCHA, която води до фалшива страница за вход, където се крадат идентификационни данни за Office 365. Тази конкретна атака разчита на инструмента за продажби и маркетинг на имейли, наречен „отворени пренасочвания“, с който в миналото се злоупотребяваше доста, за да пренасочи посетител на надеждна дестинация към злонамерен сайт. Google не оценява отворените пренасочвания за URL адреси на Google като уязвимост в сигурността, но показва „известие за пренасочване“ в браузъра. Microsoft предупреждава, че тази функция се използва от фишинг атаките.

„Въпреки това нападателите биха могли да злоупотребяват с отворени пренасочвания, за да се свържат с URL адрес в доверен домейн и да вградят евентуалния краен злонамерен URL адрес като параметър. Подобна злоупотреба може да попречи на потребителите и решенията за сигурност да разпознават бързо възможните злонамерени намерения“, предупреждава екипът на Microsoft 365 Defender Threat Intelligence.

Тази атака разчита на съветите на потребителите да задържат курсора на мишката върху връзка в имейл, за да проверят дестинацията, преди да кликнат.

„След като получателите задържат курсора на мишката върху връзката или бутона в имейла, те се показват с пълния URL адрес. Въпреки това, тъй като участниците създават отворени връзки за пренасочване, използвайки законна услуга, потребителите виждат законно име на домейн, което вероятно е свързано с компания, която те знаят и на която се доверяват. Вярваме, че нападателите злоупотребяват с тази отворена и уважавана платформа, за да се опитат да избегнат откриването, докато пренасочват потенциалните жертви към фишинг сайтове“, предупреждава Microsoft.

„Потребителите, обучени да задържат курсора върху връзки и да проверяват за злонамерени артефакти в имейли, все още могат да видят домейн, на който имат доверие, и по този начин да кликнат върху него“, се казва още.

Microsoft е намерил над 350 уникални фишинг домейна, използвани в тази кампания, включително безплатни имейл домейни, компрометирани домейни и такива, автоматично създадени от алгоритъма за генериране на фалшиви сайтове на нападателя. Заглавията на имейла са съобразени с инструмента, за който атакуващият се представя, като например предупреждение в календара за среща в Zoom, известие за спам от Office 365 или известие за широко използваната, но несъобразена с изискванията парола.

Въпреки че отворените пренасочвания не са нови, Microsoft още през август забеляза фишинг кампания, която разчиташе на подправени URL адреси на Microsoft.

Снимка: Pikrepo

Виж още: Новият Lenovo Legion има най-мощните говорители за смартфон в света