Microsoft Azure
Bei einem jüngsten Phishing-Angriff auf Office 365 wurde ein Phishing-Angriff beobachtet, bei dem anscheinend eine andere und interessante Technik zum Speichern des Phishing-Formulars verwendet wird, das auf Azure Blog Storage gehostet wird. Bleeping Computer gemeldet.
Azure Blob Storage ist eine Speicherlösung von Microsoft, mit der unstrukturierte Daten wie Videos, Bilder und Text gespeichert werden können. Einer der Hauptvorteile des Azure Blob-Speichers besteht darin, dass sowohl HTTPS als auch HTTP darauf zugreifen können. Bei der Verbindung über HTTPS wird ein von Microsoft signiertes SSL-Zertifikat angezeigt. Der neue Phishing-Angriff speichert das Phishing-Formular im Azure Blob-Speicher, wodurch natürlich sichergestellt wird, dass das angezeigte Formular mit einem von Microsoft erhaltenen SSL-Zertifikat signiert ist. Dadurch wird eine einzigartige Methode zum Phishing von Formularen erstellt, die auf Dienste von Microsoft wie Azure AD, Office 365 und andere ähnliche Microsoft-Anmeldungen abzielt.
Eine ähnliche Entdeckung wurde kürzlich von Netskope gemacht, die zeigte, dass die schlechten Schauspieler durch diese innovative Methode Spam-E-Mails mit PDF-Anhängen versenden, die so tun, als wären sie von einem Denver-Rechtsformular gesendet worden. Diese Anhänge werden als 'Gescanntes Dokument ... Bitte überprüfen.pdf' bezeichnet. Sie enthalten eine einfache Schaltfläche zum Herunterladen einer gefälschten PDF-Datei eines angeblich gescannten Dokuments. Wenn Benutzer auf diesen PDF-Link klicken, werden sie zu einer HTML-Seite weitergeleitet, die sich als Anmeldeformular für Office 365 ausgibt, das in der Microsoft Azure Blob-Speicherlösung gespeichert ist. Da diese Seite auch von einem Microsoft-Dienst gehostet wird, bietet sie den zusätzlichen Vorteil, eine Site mit einem sicheren SSL-Zertifikat zu sein. Wenn die seltsame URL die Benutzer sogar überrascht, wird das signierte SSL-Zertifikat sie davon überzeugen, dass es von Microsoft IT TLS CA 5 ausgestellt wurde.
Signiertes SSL-Zertifikat - Schlafender Computer
Wenn der Benutzer seine Informationen eingibt, wird der Inhalt an einen Server gesendet, der von den Phishing-Angreifern betrieben wird. Die geöffnete Seite gibt vor, dass das Dokument gerade heruntergeladen wird, leitet den Benutzer jedoch letztendlich nur zu dieser URL weiter: https://products.office.com/en-us/sharepoint/collaboration Microsoft-Site.
Bleeping Computer berichtet Netskope hat Unternehmen empfohlen, ihre Benutzer ordnungsgemäß zu schulen, damit sie nicht standardmäßige Webseitenadressen erkennen können.
