Microsoft Azure
Megfigyelték, hogy az Office 365 elleni legújabb adathalász támadás olyan adathalász támadást használ, amely látszólag más és meglehetősen érdekes technikát alkalmaz az adathalász formájuk tárolására, amelyet az Azure Blog Storage tárol, Alvó számítógép jelentette.
Az Azure Blob Storage a Microsoft tárolási megoldása, amely felhasználható strukturálatlan adatok, például videók, képek és szövegek tárolására. Az Azure Blob storage egyik fő előnye, hogy mind HTTPS, mind HTTP által elérhető. Ha HTTPS-en keresztül csatlakozik, akkor a Microsoft által aláírt SSL-tanúsítvány jelenik meg. Az új adathalász támadás az adathalász űrlapot tárolja az Azure Blob Storage alkalmazásban, amely természetesen biztosítja, hogy a megjelenített űrlapot a Microsofttól kapott SSL tanúsítvány írja alá. Ezáltal létrehoz egy egyedi módszert az adathalász-űrlapokra, amelyek a Microsoft szolgáltatásait célozzák, például az Azure AD-t, az Office 365-et és más hasonló Microsoft-bejelentkezéseket.
A Netskope nemrégiben hasonló felfedezést tett, amely megmutatta, hogy ezen innovatív módszer révén a rossz szereplők spam e-maileket adnak ki, amelyek PDF-mellékleteket tartalmaznak, és úgy tesznek, mintha Denver törvényi formája küldte volna őket. Ezeket a mellékleteket „Szkennelt dokumentum… kérjük, tekintse át.pdf” néven nevezik. Egy egyszerű gombot tartalmaznak egy feltételezett beolvasott dokumentum hamis PDF-fájljának letöltésére. Amint a felhasználók erre a PDF-linkre kattintanak, egy HTML-oldalra kerülnek, amely úgy tesz, mintha az Office 365 bejelentkezési formája lenne, amelyet a Microsoft Azure Blob tárolási megoldás tárol. Mivel ezt az oldalt egy Microsoft szolgáltatás is üzemelteti, további előnye lesz, ha biztonságos SSL tanúsítvánnyal rendelkező webhelynek számítanak. Ha a furcsa URL még a felhasználókat is meglepi, az aláírt SSL tanúsítvány meg fogja győződni arról, hogy a Microsoft IT TLS CA 5 adta ki.
Aláírt SSL tanúsítvány - alvó számítógép
Amikor a felhasználó megadja adatait, a tartalmat elküldik egy olyan szerverre, amelyet az adathalász támadók működtetnek. A megnyitott oldal úgy tesz, mintha a dokumentum letölteni kezdene, de végül csak átirányítja a felhasználót erre az URL-re: https://products.office.com/en-us/sharepoint/collaboration Microsoft webhely.
Alvó számítógép jelentések hogy a Netskope azt javasolta a vállalatoknak, hogy megfelelően oktassák felhasználóikat, hogy képesek legyenek felismerni minden nem szabványos weboldal címet.
