Phishing, som i korte trekk går ut på å lure ofre til å gi fra seg sensitiv informasjon, er en av de aller vanligste formene for nettkriminalitet – og metodene blir stadig mer sofistikerte. Nå advarer Microsoft om en ny phishing-kampanje.
Den innebærer å utnytte såkalte åpne omdirigeringslenker som sendes til ofre via e-post.
Misbruk av legitim tjeneste
Åpne omdirigeringslenker brukes ofte av legitime organisasjoner til diverse salgs- og markedsføringsformål. For eksempel kan et hotell bruke funksjonen til å sende e-postmottakeren til en bestillingsside hos en tredjepart, samtidig som lenken bruker hotellets eget domene.
Microsoft har begynt å se at funksjonaliteten nå utnyttes til andre formål.
Ondsinnede aktører kan konfigurere disse lenkene på en slik måte at de tilsynelatende sender brukeren til en legitim side, men i realiteten omdirigeres man til en ondsinnede nettsider som brukes til å stjele informasjon fra brukeren.
Det som gjør at det er lett å bli lurt av lenkene er at URL-adressen man ser når man plasserer musepekeren over lenken uten faktisk å klikke, slik mange gjør av ren vane, tilsynelatende tilhører et legitimt domene. Adressen inneholder imidlertid parametre det er lett å overse, som tar brukeren videre til ondsinnede nettsider.
– Når mottakere sjekker lenken eller knappen med musepekeren i e-posten, vises den fulle URL-en. Men siden aktørene setter opp omdirigeringslenker ved å bruke en legitim tjeneste, ser brukeren et legitimt domenenavn som trolig er assosiert med et selskap de kjenner og stoler på. Vi tror angriperne misbruker denne åpne og anerkjente plattformen for å unngå å bli oppdaget når potensielle ofre sendes til phishing-sider, skriver Microsoft.
CAPTCHA-test
Ifølge selskapet kombineres denne teknikken med overbevisende agn som etterligner velkjente produktivitetsverktøy og tjenester, for eksempel Office-produkter, for å lure brukere til å klikke på lenken.
Ved å klikke på lenken tas man i mange tilfeller videre til sider hvor brukeren gis en CAPTCHA-test for verifisering – en test der man må skrive inn en rekke tall og bokstaver. Dette hever inntrykket av legitimitet, og i tillegg mener Microsoft at funksjonen brukes til å omgå skanning av innhold på sidene, slik at analyseverktøy ikke når helt frem til selve phishing-siden.
Etter CAPTCHA-testen vises brukeren en side som etterligner legitime tjenester som Microsofts egen Office 365, hvor brukeren bes om å oppgi passordet, og brukerens e-postadresse er allerede fylt inn for å øke troverdigheten. Etter å ha gitt fra seg passordet, omdirigeres man igjen videre til andre, legitime nettsider, som bidrar til ytterligere kamuflering av phishing-kampanjen.
Flere detaljer om kampanjen finner du på Microsofts sikkerhetsblogg.
Skadevare til Android stjeler bankinformasjon ved å ta opptak av mobilskjermen