Office 365 phishing-zwendel gebruikt Google Ad-domeinen om de beveiliging te omzeilen

Inhoudsopgave

Met Google Ad Services-omleiding kan deze phishingcampagne beveiligde e-mailgateways omzeilen.

Onderzoekers van het Cofense Phishing Defense Center (PDC) hebben een nieuwe phishing-campagne ontdekt die probeert de inloggegevens van gebruikers van Office 365 te stelen door hen ertoe te verleiden een nieuwe gebruiksvoorwaarden en privacybeleid te accepteren.

Deze campagne is waargenomen bij meerdere organisaties en maakt gebruik van een aantal geavanceerde technieken, waaronder een Google Ad Services-omleiding, om te proberen de inloggegevens van werknemers te stelen.

Getargete gebruikers ontvangen eerst een e-mail met een hoge prioriteit die de onderwerpregel “Recente beleidswijziging” heeft. De e-mail komt ook van een adres dat het woord beveiliging bevat om een gevoel van urgentie te creëren. De hoofdtekst van de e-mail vraagt gebruikers om de recent bijgewerkte “Gebruiksvoorwaarden en Privacybeleid” te accepteren, anders kunnen ze de service mogelijk niet meer gebruiken.

Google Ad Services-omleiding

Om ervoor te zorgen dat gebruikers op hun phishing-e-mail klikken, hebben de aanvallers een Google Ad Services-omleiding gebruikt die suggereert dat ze mogelijk hebben betaald om hun URL door een geautoriseerde bron te laten gaan. Dit helpt ook om de e-mails van de campagne gemakkelijk te omzeilen van beveiligde e-mailgateways die door organisaties worden gebruikt om phishing-aanvallen en andere online oplichting te voorkomen.

Zodra een gebruiker wordt omgeleid naar de nep-inlogpagina van Microsoft, krijgt hij een pop-up te zien van het privacybeleid dat in de e-mail wordt genoemd. Dit venster bevat ook zowel een Microsoft-logo als het bedrijfslogo van de gebruiker om het legitiemer te laten lijken. Het ‘bijgewerkte privacybeleid’ dat in de e-mail wordt genoemd, komt ook rechtstreeks van de website van Microsoft.

Nadat het bijgewerkte beleid is geaccepteerd, wordt de gebruiker opnieuw omgeleid naar een Microsoft-inlogpagina die zich voordoet als de officiële inlogpagina van Office 365. Als een werknemer zijn inloggegevens op deze pagina invoert en op “Volgende” klikt, hebben de cybercriminelen hun Microsoft-inloggegevens en is hun account gehackt.

Om gebruikers te laten denken dat ze niet alleen hun inloggegevens hebben ingevoerd, verschijnt er een ander vak met de tekst “We hebben onze voorwaarden bijgewerkt” met een knop “Voltooien” onder dit bericht.

Deze phishing-campagne gebruikt veel slimme trucs om de inloggegevens van gebruikers te stelen.Daarom moeten gebruikers extra voorzichtig zijn bij het openen van e-mails die rechtstreeks afkomstig lijken te zijn van een officiële bron en hen vragen om in te loggen op een van hun accounts.

Dit artikel is oorspronkelijk verschenen op Tech Radar.

Deel dit bericht:

Share on linkedin
Share on twitter
Share on facebook
Share on email

Geef een reactie