Фишинговая кампания ворует конфиденциальные данные пользователей Office 365

Пользователи этой службы должны быть предельно бдительны, поскольку недавно они стали объектом мошеннической фишинговой кампании, которая позволяет хакерам украсть их имена и пароли. Все начинается при нажатии беззаботным пользователем на ссылку. Щелчок по такой ссылке запускает цепочку перенаправлений, сначала на заслуживающий доверия веб-сайт reCAPTCHA Google, а затем на поддельную страницу входа, с которой хакер извлекает свои учетные данные Office 365.

Проверка Google reCaptcha обычно используется веб-сайтами для подтверждения того, что пользователь не является пользователем бот.

Однако в этом случае пользователь перенаправляется на страницу, которая на последнем шаге выглядит как классическая страница входа в Microsoft.

Атака очень умным и коварным образом использует инструмент, который в прошлом обычно использовался для запуска стандартных маркетинговых кампаний по электронной почте.

Это называется открытыми перенаправлениями и, как следует из названия, перенаправляет пользователя на соответствующий веб-сайт, указанный клиентом. Google, поддерживающий этот инструмент, не считает такую ​​операцию опасной, а только приказывает браузеру отображать сообщение, уведомляющее пользователя о том, что такое событие происходит.

Хитрость этой атаки заключается в том, что в совете для пользователей, использующих такой открытый механизм перенаправления, есть рекомендация проверять полный URL-адрес при наведении курсора на ссылку. Однако в данном случае это официальная служба Google reCAPTCHA, и пользователи полностью доверяют указанному адресу.

Microsoft объявляет, что заголовки фишинговых писем были скорректированы для инструмента, используемого хакером. Таким инструментом может выступать предупреждение календаря для собрания Zoom или уведомление о спаме из Office 365.