Η Microsoft προειδοποιεί τους πελάτες της Office 365 για μια εκτεταμένη καμπάνια phishing για την κλοπή ονομάτων χρήστη και κωδικών πρόσβασης.
Η Ομάδα Πληροφοριών του Microsoft 365 Defender Threat δημοσίευσε τα ευρήματά της στο ιστολόγιο ασφαλείας της, το οποίο περιγράφει λεπτομερώς πώς γίνονται οι επιθέσεις και συμβουλεύει τι μπορούν να κάνουν οι άνθρωποι για να αμυνθούν.
Η επίθεση λειτουργεί καθοδηγώντας τους χρήστες του Office 365 σε μια σειρά συνδέσμων και ανακατευθύνσεων σε μια σελίδα Google reCAPTCHA. Οι χρήστες οδηγούνται σε μια ψεύτικη σελίδα σύνδεσης, όπου κλαπούν τα διαπιστευτήριά τους, με αποτέλεσμα να παραβιάζονται.
Σύμφωνα με την Ομάδα Πληροφοριών, η επαλήθευση Google reCAPTCHA προσθέτει μια ψευδή αίσθηση νομιμότητας στους χρήστες που εξαπατώνται και πιστεύουν ότι η όλη διαδικασία είναι καλή.
Οι χάκερ βασίζονται σε ένα εργαλείο μάρκετινγκ γνωστό ως ανοιχτή ανακατεύθυνση, ένα email με σύνδεσμο που μεταφέρει τον χρήστη σε διαφορετικό τομέα. Οι ανοιχτοί ανακατευθύνσεις έχουν γίνει κατάχρηση στο παρελθόν για να κατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους.
Η Ομάδα Πληροφοριών συμβουλεύει τους χρήστες να τοποθετήσουν το δείκτη του ποντικιού πάνω από τον σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να ελέγξουν τον προορισμό πριν κάνουν κλικ. Η ιδέα είναι ότι ο χρήστης μπορεί να δει εάν το όνομα τομέα είναι νόμιμο και σχετίζεται με έναν ιστότοπο που γνωρίζει και εμπιστεύεται.
Η Google, από την άλλη, έχει διαφορετική άποψη. Σε μια ανάρτηση στο Πανεπιστήμιο Bughunter, έναν ιστότοπο αφιερωμένο στην αναζήτηση σφαλμάτων και δυσλειτουργιών, η Google απαντά στους ισχυρισμούς ότι οι ανοιχτοί ανακατευθύνσεις δεν είναι ασφαλείς.
Η ανάρτηση αναφέρει ότι, ενώ οι ίδιοι οι ανοιχτοί ανακατευθύνσεις δεν αποτελούν ευπάθεια, παραδέχεται ότι μπορεί να γίνει κατάχρηση για άλλα τρωτά σημεία. Η εταιρεία διαφωνεί με τη συμβουλή να τοποθετείτε το δείκτη του ποντικιού πάνω από τον σύνδεσμο πριν κάνετε κλικ, καθώς δεν είναι πάντα ο πιο ακριβής και οι χρήστες συνήθως δεν εξετάζουν τη διεύθυνση URL μετά τη μετακίνηση.
Ωστόσο, η Google δεν προσφέρει καμία άλλη συμβουλή για την άμυνα εκτός από την επικοινωνία μαζί τους.