Els investigadors de seguretat de Microsoft han descobert una campanya de phishing a gran escala que utilitza tècniques de proxy HTTPS per a segrestar comptes d’Office 365. L’atac és capaç d’eludir els mètodes d’autenticació multifactor i ja s’ha dirigit a més de 10.000 organitzacions a tot el món des de setembre de 2021.

L’objectiu de la campanya sembla ser el compromís del correu electrònic (BEC, de les seves sigles angleses), un tipus d’amenaça en el qual els correus dels empleats s’usen per a enganyar altres treballadors, siguin de la mateixa empresa o socis externs, per a iniciar transferències de diners fraudulentes. Segons el Centre de Queixes de Delictes d’Internet de l’FBI, els atacs BEC han generat pèrdues per més de 43.000 milions de dòlars entre juny de 2016 i desembre de 2021 als Estats Units.

Els incidents observats per Microsoft van començar quan les víctimes van rebre correus no autoritzats que contenien adjunts HTML maliciosos. Alguns es van fer passar per notificacions de veu i van dirigir als usuaris a obrir documents que redirigien a pàgines que simulaven el progrés d’una descàrrega, però que després tornava a una pàgina d’inici de sessió falsa d’Office 365.

Si bé això sembla un típic atac de phishing, la implementació de backend és el que ho fa diferent. Primer, l’adreça de correu electrònic de l’usuari està codificada en l’URL de la pàgina de redreçament i s’usa per a completar prèviament el camp d’inici de sessió en les pàgines de phishing. En segon lloc, les mateixes pàgines de phishing actuen com un proxy i obtenen el seu contingut en temps real des de la pàgina d’inici de sessió legítima d’Office 365.

Obtingui les imatges en els següents enllaços:

https://commons.wikimedia.org/wiki/File:Microsoft_365.svg

https://www.flickr.com/photos/136770128@N07/40682390390