I ricercatori della sicurezza di Microsoft hanno scoperto un’insolita campagna di phishing che impiega pagine di errore 404 personalizzate per indurre le potenziali vittime a distribuire le loro credenziali Microsoft. Per fare ciò, gli aggressori registrano un dominio e invece di creare una singola landing page di phishing per reindirizzare le loro vittime, configurano una pagina 404 personalizzata che mostra il falso modulo di accesso.

Apri un Conto con i Migliori Broker Regolamentati

Piattaforma: 24option

Deposito: 250$

Licenza: Cysec

  • Corsi di trading gratis
  • Indicatori e segnali gratis

⭐⭐⭐⭐⭐

RECENSIONE

*Terms and conditions apply

Piattaforma: Plus500

Deposito: 100$

Licenza: Cysec

  • Piattaforma professionale
  • Demo gratis

⭐⭐⭐⭐⭐

RECENSIONE

*Terms and conditions apply

Tramite l’errore 404 per rubare le credenziali ai clienti

Ciò consente ai phishing di avere una quantità infinita di URL di landing page di phishing generati con l’aiuto di un singolo dominio registrato. Ha affermato il team di ricerca di Microsoft che la pagina 404 non trovata ti dice che hai colpito un collegamento interrotto o morto, inoltre, I phisher utilizzano pagine 404 personalizzate dannose per servire siti di phishing. Una campagna di phishing indirizzata a Microsoft utilizza tale tecnica, offrendo dei phishing praticamente illimitati. Le pagine di errore 404 personalizzate utilizzate da questi aggressori per raccogliere le credenziali delle loro vittime sono perfettamente mimetizzate come legittime pagine di accesso all’account Microsoft, fin nei minimi dettagli.

Tutti i collegamenti nella pagina di phishing, compresi quelli in basso e quelli utilizzati per accedere al proprio account Microsoft e crearne uno nuovo, vengono indirizzati direttamente ai moduli di accesso ufficiali Microsoft nel tentativo di rendere gli obiettivi meno sospetti. Gli unici elementi mancanti nella pagina di phishing sono il link Opzioni di accesso sopra il pulsante Avanti e la notifica dei cookie nella parte superiore della pagina. Poiché la pagina 404 non valida viene pubblicata su qualsiasi URL inesistente in un dominio controllato dagli aggressori, i phisher possono utilizzare URL casuali per le loro campagne.

Microsoft ha dichiarato di aver scoperto che gli aggressori randomizzano i domini, aumentando esponenzialmente il numero di URL di phishing. Il modulo di phishing è progettato per raccogliere indirizzi e-mail, numeri di telefono o nomi Skype di Microsoft, che vengono inviati a hotelseacliff. Le vittime vengono quindi reindirizzate a un vero modulo di accesso Microsoft mascherato con un URL abbreviato dopo aver raccolto correttamente le credenziali. Mentre Microsoft ha già aggiunto gli URL utilizzati in questa campagna all’elenco di Microsoft Defender SmartScreen di siti di phishing, malware, exploit e truffa segnalati, Google deve ancora raccoglierli e aggiungerli al suo servizio blacklist Navigazione sicura.

Come funziona questa truffa?

Mentre le pagine di errore 404 personalizzate possono essere create utilizzando diversi metodi e servizi, gli operatori della campagna di phishing individuati dal team di ricerca sulla sicurezza di Microsoft hanno utilizzato il sottodominio Firebase app outlookloffice365user09ngxsmd [.] Web [.] Gratuito. Un articolo di supporto sul sito Web della documentazione di Firebase mostra tutti i passaggi da compiere per personalizzare una pagina 404 / Non trovato, rendendo possibile pubblicare un errore 404 Non trovato personalizzato quando un utente tenta di accedere a una pagina che non esistere.

Una volta impostato tutto, Firebase Hosting visualizzerà il contenuto di questa pagina 404.html personalizzata se un browser genera un errore 404 Not Found sul tuo dominio o sottodominio. Come accennato in precedenza, gli aggressori potrebbero anche utilizzare altre tecniche per creare landing page di phishing tramite le pagine 404 Not Found personalizzate, da quelle ospitate su Amazon CloudFront, Microsoft Azure, Squarespace, Weebly e molto altro.

Ciò significa che ciascuno di questi servizi potrebbe essere abusato in campagne di phishing simili, con l’archiviazione di Azure propria di Microsoft come obiettivo principale, dal momento che può essere usato per l’ hosting di siti Web statici e fornisce anche supporto per 404 pagine personalizzate . I phisher stanno già utilizzando la soluzione di archiviazione degli oggetti BLOB di archiviazione di Azure di Microsoft [ 1 , 2 ] per ospitare pagine di phishing, sfruttando allo stesso tempo il fatto che verranno automaticamente firmati con un certificato SSL da Microsoft.

Ciò rende il phishing basato su Archiviazione BLOB di Azure il metodo ideale per indirizzare direttamente gli utenti ai servizi Microsoft come Office 365, Azure Active Directory, Outlook e un’intera serie di altri accessi Microsoft. Evitare per una società come Microsoft di evitare le truffe online, è fondamentale per mantenere la fiducia dei propri consumatori. Le azioni Microsoft sono in salita da molti mesi e sarà fondamentale quindi risolvere la truffa online il prima possibile.

Altri articoli dello stesso autore: