Cybersecurity onderzoekers van Microsoft ontdekten een ongewone phishing campagne waarbij aangepaste 404-foutpagina’s worden gebruikt om potentiële slachtoffers te misleiden om hun Microsoft gegevens in te vullen.
“Phishers gebruiken kwaadwillende aangepaste 404-pagina’s om phishing-sites te bedienen. Een phishing-campagne gericht op Microsoft gebruikt een dergelijke techniek, waardoor phishers vrijwel onbeperkte phishing-URL’s krijgen.”
Om dit te doen, registreren de aanvallers een domein (bijvoorbeeld www.McrSft.org) en in plaats van een enkele phishing bestemmingspagina te maken om hun slachtoffers naar om te leiden, configureren ze een aangepaste 404-pagina die het valse inlog formulier toont.
Hierdoor kunnen de phishers een oneindige hoeveelheid URL’s voor phishing bestemmingspagina’s genereren met behulp van een enkel geregistreerd domein.
De foutmelding Error 404 of Not Found (niet gevonden) is een van de HTTP-statuscodes. De foutmelding wordt gegeven door een webserver wanneer het gevraagde bestand, of preciezer gezegd de URL (webpagina), niet bestaat.
De aangepaste 404-foutpagina’s die deze aanvallers gebruiken om de inloggegevens van hun slachtoffers te verzamelen, zijn perfect gecamoufleerd als legitieme Microsoft account aanmeldingspagina’s, tot in de kleinste details.
Alle koppelingen op de phishing pagina, inclusief de koppelingen onderaan en de koppelingen die worden gebruikt om toegang te krijgen tot uw Microsoft account en om een nieuw account te maken, verwijzen rechtstreeks naar officiële Microsoft aanmeldingsformulieren in een poging om doelen minder verdacht te maken.
De enige elementen die op de phishing pagina ontbreken, zijn de link ‘Aanmeldingsopties’ boven de knop ‘Volgende’ en de cookiemelding bovenaan de pagina.
“Omdat de misvormde 404-pagina wordt weergegeven op elke niet-bestaande URL in een door een aanvaller beheerd domein, kunnen de phishers willekeurige URL’s gebruiken voor hun campagnes”, voegt Microsoft toe. “We hebben ook vastgesteld dat de aanvallers domeinen willekeurig maken, waardoor het aantal phishing-URL’s exponentieel toeneemt.”
Het phishing formulier is ontworpen om Microsoft email adressen, telefoonnummers of Skype namen te verzamelen die naar 'hotelseacliff.com' worden verzonden.
De slachtoffers worden vervolgens doorgestuurd naar een echt Microsoft inlog formulier, gemaskeerd met een verkorte URL nadat de referenties met succes zijn verzameld.
Hoewel Microsoft de in deze campagne gebruikte URL’s al heeft toegevoegd aan de lijst met gerapporteerde phishing-, malware-, exploit- en zwendelsites van Microsoft Defender SmartScreen, moet Google ze nog ophalen en toevoegen aan de Blacklist-service Safe Browsing.
Krijg je een dergelijk inlogscherm, sluit het af, en ga zelf naar de pagina, in dit geval www.microsoft.com.
Ook bij deze truc lokken de cybercriminelen je naar een inlog pagina, om zou jouw ingevulde gegevens te kunnen stelen.
Vraag je dus altijd af...
Voor de techneuten
Aangepaste 404-foutpagina’s kunnen worden gemaakt met behulp van verschillende methoden en services, gebruikten de exploitanten van de phishing-campagne die door het beveiligings onderzoeksteam van Microsoft werd gezien, de gratis 'outlookloffice365user09ngxsmd.Web.App' Firebase subdomein.
Een ondersteuningsartikel op de Firebase documentatiewebsite toont alle stappen die men moet doorlopen om een 404 / Not Found-pagina aan te passen, waardoor het mogelijk wordt om “een aangepaste 404 Not Found-fout weer te geven wanneer een gebruiker toegang probeert te krijgen tot een pagina die niet bestaan.”
Zodra alles is ingesteld, wordt de inhoud van deze aangepaste '404.html pagina' weergegeven als een browser een 404 foutmelding op uw domein of subdomein activeert.
Zoals eerder vermeld, konden aanvallers ook andere technieken gebruiken om phishing bestemmingspagina’s te maken via aangepaste 404 Not Found-pagina’s, van zelfgehoste tot Amazon CloudFront, Microsoft Azure, Squarespace, Weebly en nog veel meer.
Dit betekent dat elk van deze services kan worden misbruikt in vergelijkbare phishingcampagnes, waarbij Microsoft’s eigen Azure Storage een hoofddoel is, aangezien het kan worden gebruikt voor statische website-hosting en het biedt ook ondersteuning voor aangepaste 404-pagina’s .
Phishers gebruiken al Microsoft Azure Blob Storage-objectopslagoplossing [ 1 , 2 ] om phishingpagina’s te hosten, terwijl ze tegelijkertijd profiteren van het feit dat ze automatisch worden ondertekend met een SSL-certificaat van Microsoft.
Dit maakt Azure Blob Storage-gebaseerde phishing de ideale methode om gebruikers van Microsoft-services zoals Office 365, Azure Active Directory, Outlook en een hele reeks andere Microsoft-aanmeldingen rechtstreeks te targeten.
Bron: bleepingcomputer, Microsoft
Reactie plaatsen
Reacties