Фишинговая атака на хранилище блогов Azure уклоняется от пользователей, отображая подписанный сертификат SSL от Microsoft

Новости
Безопасность / Фишинговая атака на хранилище блогов Azure уклоняется от пользователей, отображая подписанный сертификат SSL от Microsoft 1 минута на чтение Лазурь

Microsoft Azure



Последняя фишинговая атака на Office 365, как было замечено, использовала фишинговую атаку, которая, по-видимому, использует другой и довольно интересный метод хранения их фишинг-формы, которая размещается в хранилище блогов Azure, Сообщил Bleeping Computer.

Хранилище BLOB-объектов Azure - это решение для хранения данных от Microsoft, которое можно использовать для хранения неструктурированных данных, таких как видео, изображения и текст. Одним из основных преимуществ хранилища BLOB-объектов Azure является то, что оно доступно как по HTTPS, так и по HTTP. При подключении через HTTPS будет отображаться сертификат SSL, подписанный Microsoft. Новая фишинговая атака сохраняет фишинговую форму в хранилище BLOB-объектов Azure, что естественным образом гарантирует, что отображаемая форма подписана сертификатом SSL, полученным от Microsoft. Таким образом, он создает уникальный метод фишинговых форм, нацеленных на такие службы Microsoft, как Azure AD, Office 365 и другие подобные логины Microsoft.



панель задач не скроет окна 7

Недавнее аналогичное открытие было сделано компанией Netskope, которая показала, что с помощью этого инновационного метода злоумышленники рассылают спам-письма с вложениями в формате PDF, которые делают вид, что они были отправлены по закону Денвера. Эти вложения называются «Отсканированный документ…, пожалуйста, Review.pdf». Они содержат простую кнопку для загрузки поддельного PDF-файла предполагаемого отсканированного документа. Когда пользователи нажимают на эту ссылку PDF, они попадают на HTML-страницу, которая представляет собой форму входа в Office 365, которая хранится в решении для хранения BLOB-объектов Microsoft Azure. Поскольку эта страница также размещается в службе Microsoft, она получает дополнительное преимущество - это сайт с безопасным сертификатом SSL. Если странный URL-адрес даже удивит пользователей, подписанный сертификат SSL убедит их, что он был выпущен Microsoft IT TLS CA 5.



Подписанный сертификат SSL - спящий компьютер

Подписанный сертификат SSL - спящий компьютер



Когда пользователь вводит свою информацию, содержимое будет отправлено на сервер, которым управляют злоумышленники. Открытая страница будет делать вид, что документ начинает загружаться, но в конечном итоге просто перенаправляет пользователя на этот URL: https://products.office.com/en-us/sharepoint/collaboration сайт Microsoft.

Bleeping Computer сообщает что Netskope рекомендует компаниям надлежащим образом обучать своих пользователей, чтобы они могли распознавать любые нестандартные адреса веб-страниц.