Securityexperts van Microsoft waarschuwen voor een phishing-campagne die open redirector links gebruikt. Windows defender zou deze aanvallen inmiddels afslaan.
In hun waarschuwing stellen de experts van de techgigant dat er een grote phishing-campagne voor het ontvreemden van inloggegevens aan de hand is. De campagne zou met behulp van social engineering lokkertjes gebruikers willen verleiden tot het klikken op als gewone URL’s vermomde redirector links.
Redirector links zorgen ervoor dat een een webapplicatie toestaat dat een HTTP-parameter een URL bevat die een HTTP-verzoek herleidt naar een bepaalde bron. Redirector links worden bijvoorbeeld vaak toegepast in verkoop- en marketingomgevingen voor het direct leiden van klanten naar de juiste landingspagina’s.
Verloop aanval
In de aanval zorgen de redirector links ervoor dat slachtoffers eerst naar een CAPTCHA-verificatiepagina worden geleid. Dit moet hen een vals gevoel van legitimiteit geven en voorkomt ook dat sommige geautomatiseerde analysesystemen worden omzeild. Vervolgens worden ze doorgestuurd naar een valse login-pagina voor een Microsoft-dienst als Office 365.
Wanneer het slachtoffer vervolgens een wachtwoord ingeeft, ververst de pagina zichzelf en stelt dat er iets is misgegaan, zoals een time-out. Het slachtoffer wordt gevraagd het wachtwoord opnieuw in te voeren. Daarna worden de slachtoffers naar een legitieme landingspagina van Sophos geleid. Die stelt ten onrechte dat het email-bericht voor het herstellen van hun wachtwoord is verstuurd. Inmiddels beschikken de hackers dan over de inloggegevens van de slachtoffers.
350 verschillende domeinen
Microsoft geeft aan inmiddels 350 verschillende domeinen te hebben ontdekt die bij deze campagne betrokken zijn. Dit kunnen er meer zijn omdat de phishing URL’s door een algoritme worden aangemaakt, waardoor phishing-domeinen ‘on the fly’ kunnen worden aangemaakt. De phishing mails worden verstuurd met onderwerpen die onder andere als volgt beginnen: (naam ontvanger) 1 New Notification, Report Status for XXX, Zoom Meeting for XXX at (datum en tijd), Status for XXX at (datum en tijd), Password Notification for XXX at (datum en tijd) en (naam ontvanger) eNotification.
Windows Defender onderschept
Gelukkig geeft de techgigant aan dat Windows Defender for Office 365 inmiddels de betreffende e-mails onderschept en in een sand box plaatst. Binnen deze sand box worden alle redirector links onderzocht. ‘Zelfs in gevallen van CAPTCHA-verificatie’, aldus Microsoft.
3 uur geleden
