Мошенники использовали хранилище Microsoft Azure Blob для фишинговых атак

Сервис безопасности для облачных платформ Netskope обнаружил фишинговую атаку, которая построена на использовании размещённой в Azure Blob веб-страницы, очень похожей на форму входа в Office 365. Успеху атаки способствует домен Microsoft в адресной строке и действующий сертификат SSL от Microsoft.

Подробно

Злоумышленники рассылают почтовый спам от имени юридической фирмы из Денвера. Письмо содержит PDF-файл с кнопкой для загрузки «настоящего» документа.

После перехода по ссылке пользователь попадает на фишинговую страницу, имитирующую форму входа в Office 365. Поскольку страница находится в хранилище Microsoft Azure Blob, она подписана сертификатом SSL, выпущенным Microsoft, и размещена в домене компании.

Как только жертва введёт e-mail и пароль и нажмёт кнопку Продолжить, форма отправит полученные данные на сервер злоумышленников. Пользователь же попадает на страницу с сообщением, что адрес почты и пароль недействительны. После повторного ввода, например, если жертва попытается ввести данные другой учётной записи, будут последовательно показаны несколько страниц, имитирующих загрузку документа. В конце концов жертва будет просто перенаправлена на страницу SharePoint.

Netskope рекомендует компаниям обучать сотрудников всегда проверять домен ссылки и знать домены конфиденциальных сервисов.

Фишинг — один из наиболее распространённых способов интернет-мошенничества. Он может быть использован как ради забавы, так и для получения серьёзной прибыли. К примеру, в феврале 2018 года стало известно о фишинговой кампании Coinhoarder, принёсшей своим создателям за 3 года существования порядка 50 000 000 $.