Os clientes do Office 365 estão sendo direcionados por uma campanha de phishing que usa mensagens falsas de atualização de VPN para roubar detalhes de login.
Especialistas em segurança apontaram que a campanha busca se passar por mensagens legítimas, informando aos funcionários remotos que precisam atualizar suas configurações de VPN enquanto trabalham em casa.
Os e-mails de phishing usados na campanha parecem ter vindo do departamento de suporte de TI de uma organização, em um esforço para atrair funcionários a abri-los. De acordo com a empresa de segurança de e-mail Abnormal Security, até agora, 15.000 destinos receberam esses e-mails de phishing convincentes.
O uso da VPN disparou, com mais funcionários trabalhando em casa do que nunca como resultado da pandemia, motivo pelo qual esta e outras campanhas de phishing recentes foram tão eficazes. Os funcionários contam com VPNs como um meio de se conectar aos servidores de suas empresas e acessar dados confidenciais enquanto trabalham remotamente.
Credenciais do Office 365
Os atacantes por trás desta campanha fizeram um grande esforço para tornar seus e-mails de phishing não apenas mais atraentes.
Para iniciantes, os invasores estão falsificando o endereço de e-mail do remetente em seus e-mails de phishing para corresponder ao domínio das organizações de destino. As configurações de VPN enviadas nesses emails realmente levam os usuários a uma página inicial de phishing que representa com precisão a página de logon do Microsoft Office 365. Esta página de login falsa também está hospedada em um domínio de propriedade da Microsoft.
Ao abusar da plataforma Azure Blob Storage, os invasores conseguiram que sua página de destino tivesse um certificado válido da Microsoft que mostrasse o cadeado seguro, pois estavam usando um certificado SSL curinga web.core.windows.net. A maioria dos usuários vê que o certificado foi emitido pela Microsoft e nem pensa duas vezes antes de inserir suas credenciais do Office 365.
Em uma postagem no blog, a Abnormal Security alertou que esta campanha é generalizada e que inúmeras versões deste ataque foram vistas na natureza, dizendo:
“Várias versões deste ataque foram vistas em diferentes clientes, de diferentes e-mails de remetentes e de diferentes endereços IP. No entanto, todos esses ataques usaram o mesmo link de carga útil, o que implica que eles foram enviados por um único invasor que controla o site de phishing “.
Para evitar se tornar vítima dessa campanha, os usuários devem digitar suas credenciais do Office 365 apenas nas páginas de login oficiais hospedadas pela Microsoft nos domínios microsoft.com, live.com ou outlook.com.
- Veja também nossa lista completa dos melhores serviços VPN
Via BleepingComputer
