QR фишинг кампания, насочена към потребителите на Office 365 в Северна Америка и Азия, използва Microsoft Sway за хостинг на фишинг страници, съобщава Netskope.
Наричана още quishing, техниката разчита на изпращане на набелязаните жертви на QR кодове, които ги отвеждат до злонамерен уебсайт, където от тях се изисква да въведат информацията си за вход или да им бъде сервиран зловреден софтуер.
В наблюдаваната от Netskope quishing кампания жертвите са били отвеждани до фишинг страници, почти идентични с легитимната страница за влизане в Microsoft, за да бъдат убедени да разкрият своите идентификационни данни.
„Нападателите инструктират жертвите си да използват мобилните си устройства за сканиране на QR кода с надеждата, че на тези мобилни устройства липсват строгите мерки за сигурност, които обикновено се намират в издадените от корпорацията устройства, което осигурява неограничен достъп до фишинг сайта“, казва Netskope.
В допълнение към QR фишинга, това, което отличава тези атаки, е злоупотребата със Sway – безплатно приложение в рамките на Microsoft 365, което позволява на потребителите да споделят презентации с други потребители на Microsoft. Страниците в Sway могат да се споделят като връзки или да се вграждат в други уебсайтове като iframes.
При отваряне на страница в Sway жертвата използва акаунта в Microsoft, в който вече е влязла, което допринася за привидната легитимност на наблюдаваните напоследък атаки.
Според Netskope, докато от началото на годината почти не е имало злонамерен трафик, използващ Microsoft Sway, през юли кампанията за quishing е довела до 2000-кратно увеличение на трафика към фишинг страници Sway. Всички анализирани страници са били насочени към акаунти в Microsoft 365.
Вижда се също, че нападателите разчитат на Cloudflare Turnstile, за да предпазят страниците си от онлайн скенери за статични URL адреси, и използват техника за прозрачен фишинг, при която HTML кодът на злонамерената страница е почти идентичен с този на легитимната страница.
„Една от разликите е, че всички URL адреси за вход в Microsoft се заменят с фишинг домейна, като по този начин се събират данни за вход и се влиза от името на жертвите“, отбелязва Netskope.
Данните за вход на жертвите се изпращат до компрометиран уебсайт или до същия домейн, в който се намира фишинг сайтът, а жертвите се пренасочват към легитимен домейн, за да се избегнат подозрения.
„Фишинг страниците, описани в публикацията, са лесно разпознаваеми по модела на домейна sway.cloud.microsoft. Потребителите могат да избегнат да станат жертви на атаките, описани в този пост, като проверяват URL адреса“, отбелязва Netskope.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.