קיבלתם הודעה לחידוש מנוי למיקרוסופט 365? ייתכן וזו הונאה
חברת ביטדאם, מרכז פיתוח הסייבר של ספקית שירותי המחשוב האמריקאית דאטו, מדווחת על קמפיין פישינג חדש נגד משתמשי שירותי 365 של מיקרוסופט
עמי רוחקס דומבה
| 22/07/2021
צילום מסך מהאתר הזדוני. באדיבות חברת ביטדאם
חברת ביטדאם, מרכז פיתוח הסייבר של ספקית שירותי המחשוב האמריקאית דאטו, זיהו בחודש האחרון סוג חדש של קמפיין פישינג המכוון נגד משתמשי שירותי 365 של מיקרוסופט, שהצליח להפיל בחכתו גם משתמשים ישראליים.
בניגוד למרבית הקמפיינים, שמנסים לגנוב "רק" את פרטי החשבון של המשתמשים, הקמפיין החדש הולך כמה צעדים הלאה ומנסה לגנוב גם את פרטי התשלום וכרטיס האשראי. הקמפיין הצליח לעקוף מגוון רחב של פתרונות אבטחה לאימייל שמשמשים ספקי שירותי מחשוב, כולל כאלה הטוענים כי הם מצליחים להגן על שירותי 365 גם מאיומים מתקדמים.
מסורתית, קמפייני פישינג לגניבת פרטי זיהוי לחשבונות מיקרוסופט 365 משתמשים בתירוצים כמו "XXX שיתף איתך מסמך" או "הודעה קולית חדשה מחכה לך". הודעות אלו מנסות לפתות משתמשים להקליק על לינק זדוני שיעביר אותם לעמוד המתחזה לעמוד כניסת משתמש לשירותי 365, שבו יכניסו את פרטי המשתמש שלהם (שם משתמש וסיסמה).
מסלול ההונאה
כותרת המייל שנשלח לקורבן הפישינג היא "בדוק את חשבון המיקרוסופט 365 ביזנס פרימיום שלך!", או "קנה מנוי כדי להמשיך להשתמש במוצר שלך!". שני המקרים משדרים לקורבן תחושה של דחיפות כדי לדרבן אותם לפתוח את המייל הזדוני. שולח האימייל הזדוני הוא [email protected], אך הוא מתחזה להגיע מ-Microsoft.com או מ-Support, וכך גורם למשתמש התמים להאמין כי מדובר בדבר דואר בטוח שהגיע משולח לגיטימי.
דבר זה תואם את העובדה כי המייל עוסק בחידוש מנוי לחשבון פרימיום למיקרוסופט 365, ולכן אין לקורבן סיבה לחשד. גוף המייל עצמו משתמש בלוגואים של מיקרוסופט ושל אופיס 365, ונראה יחסית משכנע. לחיצה על הטקסט "Sign In" בגוף המייל מביאה את הלקוח לעמוד המתחזה בצורה משכנעת לעמוד כניסת משתמש לשירותי מיקרוסופט.
לאחר שהקורבן הזין את פרטי חשבון המשתמש שלו מוצגת לו הודעה המסבירה מדוע עליו לספק את פרטי כרטיס האשראי שלו. רק לאחר שהמשתמש לחץ על כפתור ה-"Confirm" הוא מתבקש להזין את פרטי כרטיס האשראי שלו. כדי להפחית עוד יותר את חשדות המשתמש, לאחר שהזין את פרטי כרטיס האשראי מוצגת לו הודעת אישור תשלום והוא מופנה לעמוד אמיתי של שירותי מיקרוסופט.
עם סיום המסע, התוקף מחזיק בפרטי חשבון מיקרוסופט 365 וגם פרטי כרטיס האשראי של הקורבן. החקירה שביצעה ביטדאם חשפה כי כל פעולה להכנסת מידע מצד המשתמש גוררת בקשת מידע נפרדת ומודיעה לתוקף כי העלה בחכתו פיסה חדשה של מידע. בדרך זו, גם אם בשלב כלשהו בתהליך מתעורר חשדו של המשתמש, המידע שסיפק עד לרגע זה כבר נשלח למבצע הפישינג.
חברת ביטדאם, מרכז פיתוח הסייבר של ספקית שירותי המחשוב האמריקאית דאטו, מדווחת על קמפיין פישינג חדש נגד משתמשי שירותי 365 של מיקרוסופט
צילום מסך מהאתר הזדוני. באדיבות חברת ביטדאם
חברת ביטדאם, מרכז פיתוח הסייבר של ספקית שירותי המחשוב האמריקאית דאטו, זיהו בחודש האחרון סוג חדש של קמפיין פישינג המכוון נגד משתמשי שירותי 365 של מיקרוסופט, שהצליח להפיל בחכתו גם משתמשים ישראליים.
בניגוד למרבית הקמפיינים, שמנסים לגנוב "רק" את פרטי החשבון של המשתמשים, הקמפיין החדש הולך כמה צעדים הלאה ומנסה לגנוב גם את פרטי התשלום וכרטיס האשראי. הקמפיין הצליח לעקוף מגוון רחב של פתרונות אבטחה לאימייל שמשמשים ספקי שירותי מחשוב, כולל כאלה הטוענים כי הם מצליחים להגן על שירותי 365 גם מאיומים מתקדמים.
מסורתית, קמפייני פישינג לגניבת פרטי זיהוי לחשבונות מיקרוסופט 365 משתמשים בתירוצים כמו "XXX שיתף איתך מסמך" או "הודעה קולית חדשה מחכה לך". הודעות אלו מנסות לפתות משתמשים להקליק על לינק זדוני שיעביר אותם לעמוד המתחזה לעמוד כניסת משתמש לשירותי 365, שבו יכניסו את פרטי המשתמש שלהם (שם משתמש וסיסמה).
מסלול ההונאה
כותרת המייל שנשלח לקורבן הפישינג היא "בדוק את חשבון המיקרוסופט 365 ביזנס פרימיום שלך!", או "קנה מנוי כדי להמשיך להשתמש במוצר שלך!". שני המקרים משדרים לקורבן תחושה של דחיפות כדי לדרבן אותם לפתוח את המייל הזדוני. שולח האימייל הזדוני הוא [email protected], אך הוא מתחזה להגיע מ-Microsoft.com או מ-Support, וכך גורם למשתמש התמים להאמין כי מדובר בדבר דואר בטוח שהגיע משולח לגיטימי.
דבר זה תואם את העובדה כי המייל עוסק בחידוש מנוי לחשבון פרימיום למיקרוסופט 365, ולכן אין לקורבן סיבה לחשד. גוף המייל עצמו משתמש בלוגואים של מיקרוסופט ושל אופיס 365, ונראה יחסית משכנע. לחיצה על הטקסט "Sign In" בגוף המייל מביאה את הלקוח לעמוד המתחזה בצורה משכנעת לעמוד כניסת משתמש לשירותי מיקרוסופט.
לאחר שהקורבן הזין את פרטי חשבון המשתמש שלו מוצגת לו הודעה המסבירה מדוע עליו לספק את פרטי כרטיס האשראי שלו. רק לאחר שהמשתמש לחץ על כפתור ה-"Confirm" הוא מתבקש להזין את פרטי כרטיס האשראי שלו. כדי להפחית עוד יותר את חשדות המשתמש, לאחר שהזין את פרטי כרטיס האשראי מוצגת לו הודעת אישור תשלום והוא מופנה לעמוד אמיתי של שירותי מיקרוסופט.
עם סיום המסע, התוקף מחזיק בפרטי חשבון מיקרוסופט 365 וגם פרטי כרטיס האשראי של הקורבן. החקירה שביצעה ביטדאם חשפה כי כל פעולה להכנסת מידע מצד המשתמש גוררת בקשת מידע נפרדת ומודיעה לתוקף כי העלה בחכתו פיסה חדשה של מידע. בדרך זו, גם אם בשלב כלשהו בתהליך מתעורר חשדו של המשתמש, המידע שסיפק עד לרגע זה כבר נשלח למבצע הפישינג.
