Microsoft о продолжающейся кампании фишинга с открытыми перенаправлениями

Компания Microsoft объявила о продолжающейся фишинг-кампании, которая использует несколько методов для обмана пользователей. Атака осуществляется с помощью сообщений электронной почты, содержащих открытые ссылки перенаправителя, которые приводят жертв на вредоносную страницу, где их учетные данные крадут злоумышленники. Как заявляет Microsoft, открытые перенаправления изменяют значение параметра в URL-адресе, что в итоге приводит к взлому веб-сайта со стороны злоумышленников.

Согласно отчету Microsoft, в данной фишинговой кампании злоумышленники использую следующие методы:

• Открытые перенаправления, встроенные в URL-адреса, присутствующие в сообщениях электронной почты. Они олицетворяют законные инструменты, чтобы кликнутая ссылка приводила на взломанный веб-сайт. Например, ложное уведомление Office 365 или Zoom с кнопкой для «просмотра приглашения».
• Инструменты не могут идентифицировать его, потому что URL-адрес правильного домена сохраняется в том виде, в котором он находится в полном URL-адресе.
• Даже если пользователь наводит курсор на ссылку, ничего сомнительного нет, он все равно видит доверенный домен.
• URL-адреса перенаправления из сообщения настраиваются с помощью легитимной службы, поэтому тактика успешна.
• Полный URL-адрес имеет в конце домен злоумышленника, например: .xyz, .club или .shop, с использованием доменов верхнего уровня. Домены злоумышленников рассматриваются как параметр, поэтому решение безопасности не обнаруживает его.
• Когда пользователи нажимают на ссылку, открывается целевая страница, на которой они должны пройти проверку reCAPTCHA, которая добавляет достоверности. Это метод используется для предотвращения динамического сканирования.
• После завершения проверки появляется поддельная целевая страница (исходная). Пользователи должны ввести пароль, а имя пользователя уже указано для большей надежности.
• При вводе пароля отображается сообщение об ошибке, и им необходимо повторно ввести свой пароль. Таким образом злоумышленники будут знать, что пользователи ввели правильный пароль. И теперь учетные данные скомпрометированы.