Kampania phishingowa kradnie użytkownikom usługi Office 365 poufne dane

Użytkownicy tej usługi muszą zachować wyjątkową czujność, bowiem stali się w ostatnim czasie celem podstępnej kampanii phishingowej pozwalającej hakerom kraść ich nazwy oraz hasła.Wszystko zaczyna się w momencie kliknięcia przez niefrasobliwego użytkownika odpowiednio spreparowanego łącza.

Kampania phishingowa kradnie użytkownikom usługi Office 365 poufne dane

Kliknięcie takiego łącza uruchamia łańcuszek przekierowań, najpierw na budzącą zaufanie stronę reCAPTCHA firmy Google, a następnie na fałszywą stronę logowania, z której haker pobiera dane uwierzytelniające go w usłudze Office 365. Weryfikacja Google reCaptcha jest zazwyczaj używana przez strony internetowe w celu potwierdzenia, że użytkownik nie jest botem. Jednak w tym przypadku użytkownik jest w ostatnim kroku przekierowany na stronę, która wygląda jak klasyczna strona logowania Microsoftu.

Atak wykorzystuje w bardzo sprytny i podstępny sposób narzędzie używane powszechnie w przeszłości do prowadzenia standardowych kampanii marketingowych e-mail. Nosi ono nazwę Open redirects i jak sama nazwa na wskazuje, przekierowuje użytkownika do odpowiedniej, wskazanej przez zleceniodawcę usługi witryny. Wspierający to narzędzie Google nie traktuje takiej operacji jako niebezpieczną, nakazując jedynie przeglądarce wyświetlenie informacji powiadamiającej użytkownika o tym, że zdarzenie takie ma właśnie miejsce.

Zobacz również:

  • Jak CISO i CIO powinni dzielić się odpowiedzialnością za cyberbezpieczeństwo
  • Microsoft Teams stawia na większą współpracę w aplikacji. Chce powalczyć z Zoomem

Przebiegłość tego ataku polega na tym, że w poradach dla użytkowników korzystających z takiego otwartego mechanizmu przekierowań znajduje się porada, aby po najechaniu kursorem na łącze sprawdzali pełny adres URL. Jednak w tym przypadku jest to oficjalna usługa reCAPTCHA firmy Google i użytkownicy mają pełne zaufanie do wyświetlonego adresu.

Microsoft informuje, że nagłówki tematów phishingowych wiadomości e-mail zostały dostosowane na potrzeby narzędzia, pod które podszywa się haker. Może to być np. alert kalendarza dotyczący spotkania Zoom czy powiadomienie o spamie wyświetlane przez usługę Office 365.


TOP 200