Terug naar het overzicht

04 augustus 2020

Office 365 phishing-zwendel gebruikt Google Ad-domeinen om de beveiliging te omzeilen

Met Google Ad Services-omleiding kan deze phishingcampagne beveiligde e-mailgateways omzeilen.

Onderzoekers van het Cofense
Phishing Defense Center (PDC) hebben een nieuwe phishing-campagne ontdekt die
probeert de inloggegevens van gebruikers van Office 365 te stelen door hen
ertoe te verleiden een nieuwe gebruiksvoorwaarden en privacybeleid te accepteren.

Deze campagne is waargenomen bij meerdere organisaties en maakt gebruik van een aantal geavanceerde technieken, waaronder een Google Ad Services-omleiding, om te proberen de inloggegevens van werknemers te stelen.

Getargete gebruikers ontvangen eerst een e-mail met een hoge prioriteit die de onderwerpregel “Recente beleidswijziging” heeft. De e-mail komt ook van een adres dat het woord beveiliging bevat om een gevoel van urgentie te creëren. De hoofdtekst van de e-mail vraagt gebruikers om de recent bijgewerkte “Gebruiksvoorwaarden en Privacybeleid” te accepteren, anders kunnen ze de service mogelijk niet meer gebruiken.

Google Ad
Services-omleiding

Om ervoor te zorgen dat gebruikers
op hun phishing-e-mail klikken, hebben de aanvallers een Google Ad Services-omleiding
gebruikt die suggereert dat ze mogelijk hebben betaald om hun URL door een
geautoriseerde bron te laten gaan. Dit helpt ook om de e-mails van de campagne
gemakkelijk te omzeilen van beveiligde e-mailgateways die door organisaties
worden gebruikt om phishing-aanvallen en andere online oplichting te voorkomen.

Zodra een gebruiker wordt omgeleid naar de nep-inlogpagina van Microsoft, krijgt hij een pop-up te zien van het privacybeleid dat in de e-mail wordt genoemd. Dit venster bevat ook zowel een Microsoft-logo als het bedrijfslogo van de gebruiker om het legitiemer te laten lijken. Het ‘bijgewerkte privacybeleid’ dat in de e-mail wordt genoemd, komt ook rechtstreeks van de website van Microsoft.

Nadat het bijgewerkte beleid is geaccepteerd, wordt de gebruiker opnieuw omgeleid naar een Microsoft-inlogpagina die zich voordoet als de officiële inlogpagina van Office 365. Als een werknemer zijn inloggegevens op deze pagina invoert en op “Volgende” klikt, hebben de cybercriminelen hun Microsoft-inloggegevens en is hun account gehackt.

Om gebruikers te laten denken dat ze
niet alleen hun inloggegevens hebben ingevoerd, verschijnt er een ander vak met
de tekst “We hebben onze voorwaarden bijgewerkt” met een knop
“Voltooien” onder dit bericht.

Deze phishing-campagne gebruikt veel slimme trucs om de inloggegevens van gebruikers te stelen.Daarom moeten gebruikers extra voorzichtig zijn bij het openen van e-mails die rechtstreeks afkomstig lijken te zijn van een officiële bron en hen vragen om in te loggen op een van hun accounts.

Bron: Tech Radar

Meer weten?

Neem contact op

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.