Эксперты по безопасности компании SEC Consult Services обнаружили массовую фишинговую кампанию, проводимую «от лица Microsoft» с использованием почтовых адресов корпорации IBM, сообщает CNews.
Мошеннические письма имитируют автоматические уведомления Office 365 о неотправке какого-либо письма. Пользователи Office 365 действительно получают подобные сообщения от Microsoft, если отправка письма не удалась. Но в официальном письме предлагается перейти по легитимной ссылке Send Again («отправить повторно»).
В обнаруженной фишинговой атаке используются внешне похожие уведомления. Но если присмотреться к ним, то они выглядят несколько иначе. Во-первых, никакой кнопки Send Again в фишинговом письме нет. В фальшивке пользователей сразу перенаправляют на фишинговый сайт, на котором им предлагается ввести свои персональные данные в форму: логин для получения доступа к Office 365. Почтовый адрес пользователя уже задан, остается только ввести пароль.
Так происходит кража пароля злоумышленниками. После его ввода функция JavaScript sendmail() отправит почтовый адрес и введенный пароль скрипту sendx.php, а затем снова перенаправит уже на легитимную страницу логина в Office 365 с сообщением о том, что введенный пароль не подходит.
Зловредное применение украденного пароля на этой стадии не обнаружено, но в будущем можно столкнуться с несанкционированным доступом к аккаунту пользователя, если злоумышленники решат воспользоваться украденными данными.
Интересно, что хакеры готовили ловушку относительно небрежно. Эксперт, первым обнаруживший фишинговую компанию, обратил внимание, что уведомление «от Office 365» поступает якобы из доменных адресов IBM в США — Postmaster@us.ibm.com. По всей видимости, таким образом маскируется реальный почтовый адрес мошенников.