Forskare vid Cofense Phishing Defense Center (PDC) har avslöjat en ny nätfiskekampanj som försöker stjäla användarnas Office 365-uppgifter genom att lura dem att godkänna nya användarvillkor och en ny sekretesspolicy. Den här kampanjen har observerats i olika organisationer och använder ett antal avancerade tekniker, inklusive en omdirigering från Googles reklamtjänster, för att försöka stjäla anställdas autentiseringsuppgifter. Utvalda användare får först ett kritiskt skickat e-postmeddelande med ämnet "Recent Policy Change". E-postmeddelandet kommer också från en adress som innehåller ordet säkerhet för att skapa en känsla av brådska. E-postmeddelandet ber användarna att godkänna de nyligen uppdaterade "Användarvillkor och Sekretesspolicy", annars kanske de inte längre kan använda tjänsten. E-postmeddelandet innehåller två knappar (Acceptera och läs mer) och genom att klicka på någon av knapparna omdirigeras användarna till en dubblett av den ursprungliga Microsoft-inloggningssidan.
Omdirigering av Googles annonstjänster
För att lura användare att klicka på deras nätfiske-e-post använde angriparna en omdirigering från Googles annonstjänster som tyder på att de kan ha betalat för din webbadress för att imitera en auktoritativ källa. Det gör det också möjligt för kampanjmeddelanden att enkelt kringgå säkra e-postgateways som används av organisationer för att förhindra nätfiskeattacker och andra bedrägerier online. När en användare omdirigeras till den falska Microsoft-inloggningssidan, visas en sekretesspolicy som nämns i e-postmeddelandet. Detta fönster innehåller även en Microsoft-logotyp samt användarens företagslogotyp för att få det att se mer legitimt ut. Den "uppdaterade integritetspolicyn" som nämns i mejlet är också hämtad direkt från Microsofts webbplats. Efter att ha accepterat den uppdaterade policyn omdirigeras användaren till en Microsoft-inloggningssida som utger sig som den officiella inloggningssidan för Office 365. Om en anställd anger sina autentiseringsuppgifter på den här sidan och klickar på "Nästa", kommer cyberbrottslingarna att ha dina Microsoft-uppgifter och har äventyrat ditt konto. För att lura användare att tro att det inte bara var deras autentiseringsuppgifter som stals, visas en annan ruta som säger "Vi har uppdaterat våra villkor" med en "Slutför"-knapp under detta meddelande. Denna nätfiskekampanj använder många smarta knep för att försöka stjäla användarnas autentiseringsuppgifter, så användare bör vara mycket försiktiga när de öppnar e-postmeddelanden som verkar komma direkt från en officiell källa och skickar en begäran om att logga in på ett av deras konton.