Примитивная маскировка под Microsoft позволила массово похитить пароли пользователей
Новая мошенническая кампания явно рассчитана на невнимательность пользователей. Поддельные сообщения лишь отчасти напоминают уведомления Microsoft Office 365, а в качестве исходящего адреса — почему-то домен IBM.
Есть некоторое сходство
Эксперты по безопасности отметили довольно массовую фишинговую кампанию «от лица Microsoft».
На самом деле, мошеннические письма имитируют автоматические уведомления Office 365 о неотправке какого-либо письма — Microsoft found Several Undelivered Messages. Далее в письме предлагается перейти по ссылке Send Again («отправить повторно»).
Пользователи Office 365 действительно получают подобные сообщения, если отправка какого-либо письма не удалась. Однако эти уведомления выглядят несколько иначе. Никакой кнопки Send Again со ссылкой в легитимном уведомлении нет.
А зачем эта красная кнопка?
В фальшивке пользователей, как можно догадаться, перенаправляют на фишинговый сайт, на котором имитируется форма логина в Office 365, причем почтовый адрес пользователя там уже фигурирует, остается только ввести пароль — на радость злоумышленникам.
После ввода пароля, функция JavaScript sendmail() отправит почтовый адрес и введенный пароль скрипту sendx.php, а затем снова перенаправит уже на легитимную страницу логина в Office 365 с сообщением о том, что введенный пароль не подходит.
«Это простой и довольно типичный способ серийной кражи паролей, — отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — К сожалению, как показывает практика, даже такие незамысловатые финты работают весьма эффективно. В данном случае расчет идет на невнимательность пользователя, а соответственно единственный надежный способ противостоять такому фишингу — это приучить себя перепроверять источники подобных сообщений и сайты, на которые они ведут».
Интересно, что хакеры готовили ловушку относительно небрежно. Эксперт, первым обнаруживший фишинговую компанию, обратил внимание, что уведомление «от Office 365» поступает якобы из доменных адресов IBM в США — Postmaster@us.ibm.com. Однако, учитывая, что Postmaster — это типовое наименование автоматических уведомлений, на то, что находится после @ многие пользователи действительно не обратили бы внимание.