Търсене
Close this search box.

QR фишинг кампания, насочена към потребителите на Office 365 в Северна Америка и Азия, използва Microsoft Sway за хостинг на фишинг страници, съобщава Netskope.

Наричана още quishing, техниката разчита на изпращане на набелязаните жертви на QR кодове, които ги отвеждат до злонамерен уебсайт, където от тях се изисква да въведат информацията си за вход или да им бъде сервиран зловреден софтуер.

В наблюдаваната от Netskope quishing кампания жертвите са били отвеждани до фишинг страници, почти идентични с легитимната страница за влизане в Microsoft, за да бъдат убедени да разкрият своите идентификационни данни.

„Нападателите инструктират жертвите си да използват мобилните си устройства за сканиране на QR кода с надеждата, че на тези мобилни устройства липсват строгите мерки за сигурност, които обикновено се намират в издадените от корпорацията устройства, което осигурява неограничен достъп до фишинг сайта“, казва Netskope.

В допълнение към QR фишинга, това, което отличава тези атаки, е злоупотребата със Sway – безплатно приложение в рамките на Microsoft 365, което позволява на потребителите да споделят презентации с други потребители на Microsoft. Страниците в Sway могат да се споделят като връзки или да се вграждат в други уебсайтове като iframes.

При отваряне на страница в Sway жертвата използва акаунта в Microsoft, в който вече е влязла, което допринася за привидната легитимност на наблюдаваните напоследък атаки.

Според Netskope, докато от началото на годината почти не е имало злонамерен трафик, използващ Microsoft Sway, през юли кампанията за quishing е довела до 2000-кратно увеличение на трафика към фишинг страници Sway. Всички анализирани страници са били насочени към акаунти в Microsoft 365.

Вижда се също, че нападателите разчитат на Cloudflare Turnstile, за да предпазят страниците си от онлайн скенери за статични URL адреси, и използват техника за прозрачен фишинг, при която HTML кодът на злонамерената страница е почти идентичен с този на легитимната страница.

„Една от разликите е, че всички URL адреси за вход в Microsoft се заменят с фишинг домейна, като по този начин се събират данни за вход и се влиза от името на жертвите“, отбелязва Netskope.

Данните за вход на жертвите се изпращат до компрометиран уебсайт или до същия домейн, в който се намира фишинг сайтът, а жертвите се пренасочват към легитимен домейн, за да се избегнат подозрения.

„Фишинг страниците, описани в публикацията, са лесно разпознаваеми по модела на домейна sway.cloud.microsoft. Потребителите могат да избегнат да станат жертви на атаките, описани в този пост, като проверяват URL адреса“, отбелязва Netskope.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
30/09/2024

„Петте очи“ публикуват ръко...

Правителствени агенции от страните от инициативата...
27/09/2024

Транспортните и спедиторски...

Заплахите компрометират имейл акаунти в транспортни...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!