Phishingaanval doet zich voor als Microsoft en IBM

Abonneer je gratis op Techzine!

Waar phishing zich de laatste maanden vooral op de pandemie leek te concentreren, lijken de pijlen nu gericht op clouddiensten. Het gaat dan om een phishingaanval ‘namens’ de zakelijke clouddiensten IBM Cloud, Microsoft Azure en Microsoft Dynamics.

De hackers sturen een e-mail die zogenaamd afkomstig is van IBM of Microsoft, met daarmee als doel het stelen van je logingegevens. Er wordt vooral gevist naar zakelijke inloggegevens, want deze drie cloudoplossingen worden vooral veel in de zakelijke wereld gebruikt.

Phishing

De phishingactie is geanalyseerd door BleepingComputer. Het blijkt een mail te zijn die afkomstig zou zijn van servicedesk.com, waardoor je zou kunnen denken dat je met de IT-helpdesk te maken hebt. Het is net als ‘admin’ een domein dat vaak voor de IT-afdeling wordt gebruikt binnen bedrijven. Er wordt gedaan alsof een bepaalde e-mail in quarantaine is geplaatst. Ook iets dat regelmatig gebeurt binnen bedrijven.

Echter gaat het hier dus niet om een nieuwsbrief die niet wordt toegestaan of anderzijds verdacht wordt geacht door de beveiliging van het bedrijf. In de nepmail staat vervolgens dat je de e-mails kunt ‘vrijlaten’ door op de knop te klikken met ‘release messages’. Uiteraard is het af te raden dit te doen.
Het brengt je namelijk bij een echte Microsoft Dynamics 365-URL die je vervolgens meeneemt naar de IBM Cloud-URL cf.appdomain.cloud en dat laat je uiteindelijk eindigen op de phishing pagina.

Vul je hier een heel simpel wachtwoord op in dat niet klopt, dan kan hij zeggen ‘verkeerd wachtwoord!’, er is dus best ver doorgedacht door de aanvaller. Vul je je wachtwoord in, dan ga je door naar een website met als URL: axsharma.com. In ieder geval niet waar je zou willen zijn.

Noreply@servicedesk.com

Je herkent de phishing-e-mails aan ‘noreply@servicedesk.com’, het e-mailadres waar de mail vandaan komt. Stiekem komt het eigenlijk via cn.trackhawk.pro, maar het lijkt er in eerste instantie op dat het gaat om servicedesk.com. Het betekent dat servicedesk.com is gehackt, óf dat de hackers een andere header hebben gebruikt waardoor het lijkt alsof de e-mail inderdaad van noreply@servicedesk.com komt.