Snedig phishing-kampagne bruger signeret landingpage på Microsoft-domæne

En phishing-kampagne mod Outlook bruger en landingpage på windows.net til at få fat i login-oplysninger.

Selvom et domæne har en 'hængelås', så kan det, som nogen vil vide, godt være ondsindet. Og selvom url'en fører til en side under Microsofts windows.net-domæne, så kan siden også være ondsindet. To phishing-kampagner et eksempel på, at det som almindelig bruger kan være sin sag at gennemskue, hvorvidt der er lusk på spil

Bleepingcomputer omtaler kampagnerne på baggrund af arbejde fra sikkerhedsvirksomheden Edgewave.

Et eksempel på en landingpage for en af de phishing-kampagner, Edgewave har kortlagt. Siden ligger under Microsoftdomænet windows.net og er derfor udstyret med en grøn hængelås, hvilket er med til at øge troværdigheden. Illustration: Edgewave

Den ene kampagne henvender sig baseret på ordlyden i phishing-mailen til Office 365-brugere, den anden til brugere af det knapt så udbredte Facebook Workplace.

Phishing-linket i Office 365-kampagnen fører til en fup-login-side, der skal ligne den rigtige til Outlook-web-mail. Linket i Workplace-kampagnen fører til en phishing-side, der er lavet, så den til forveksling ligner den officielle Microsoft-login-side, der kan ses her.

Begge svindel-sider har været hostet i Microsofts Azure Blob Storage.

Dermed har siderne været placeret under et Microsoft-domænet windows.net. Det er - som Bleeping Computer påpeger - med til at få svindlen til at se mere legitim-ud.

Derudover har siderne under domænet - alt efter browser-løsning - haft en grøn hængelås, der indikerer, at forbindelsen er krypteret, og at brugeren rent faktisk befinder sig på det domæne, der fremgår af url'en. Bleepingcomputer oplyser, at Url'er på Microsofts Azure Blob Storage er generelt udstyret med en grøn hængelås takket være wildcard-SSL-certifikat

Som flere Version2-læsere ved, så er der principielt ikke noget til hinder for at også et ondsindet site kan være udstyret med en grøn hængelås.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Nogle tror desværre stadig, at den grønne hængelås som indikerer at man typisk bruger TLS, er lig med at siden er sikker. Men den sikrer kun visse aspekter, som vi kan se her.

Men ros til angriberne for at finde et ægte Microsoft-domæne som de kunne komme ind under. Det er efterhånden umuligt at se på en side om den er legitim eller ej. Folk kan kun se på hvordan de er kommet ind på den, og her er links i e-mails automatisk usikre. Desværre gør mange, Microsoft inkl., sig skyldige i at sende e-mails med links og dermed lærer de folk at de skal gøre noget forkert.

Log ind eller Opret konto for at kommentere