W sieci zadebiutowała nowa kampania phishingowa, skierowana do pracujących zdalnie użytkowników Microsoft Office 365. Pod przykrywką wiadomości nakazującej pilną konfigurację ustawień VPN, przestępcy starają się zdobyć dane uwierzytelniające do konta Microsoft 365 ofiar.
Według najświeższych danych podejrzana wiadomość trafiła do ponad 15 tys. skrzynek. Przestępcy odrobili zadanie domowe. Maile prezentują się bardzo wiarygodnie – wykorzystano szablon wiadomości wykorzystywany przez daną organizację. Do tego przestępcy „dostosowali” adres nadawcy tak, by sprawiał wrażenie, że pochodzi od jednego ze współpracowników. Osoba nieobeznana z IT raczej sama tego nie zweryfikuje. Jest oczywiście szansa, że część potencjalnych ofiar potwierdzi maila ze swoim administratorem. Jednak czas ucieka nieubłaganie, a nikt nie chce stracić dostępu do firmowych zasobów… I na to właśnie liczą przestępcy – presja czasu ma skłonić ludzi do szybkiego przestąpienia do działania.
Wiadomość zawiera oczywiście hiperłącze, które „kieruje” do witryny konfiguracji VPN. Po kliknięciu w link użytkownik trafia jednak na stronę logowania Office 365. A w zasadzie na jej klona, który dodatkowo jest hostowany w domenie web.core.windows.net należącej do Microsoft. Zadajesz sobie zapewne pytanie „Jak to?”. Atakujący wykorzystali Azure Blob Storage. Ale to nie wszystko – witryna posiada także ważny certyfikat Microsoft. Wszystko to znacznie utrudnia wykrycie, że pada się właśnie ofiarą wyłudzenia danych dostępowych.