Новая мошенническая
кампания явно рассчитана на невнимательность пользователей. Поддельные
сообщения лишь отчасти напоминают уведомления Microsoft Office 365, а в качестве исходящего адреса — почему-то домен IBM.
Есть некоторое
сходство

Эксперты по безопасности отметили довольно массовую
фишинговую кампанию «от лица Microsoft».

На самом деле, мошеннические письма имитируют автоматические
уведомления Office 365 о неотправке какого-либо письма — Microsoft found
Several Undelivered Messages. Далее в письме предлагается перейти по ссылке
Send Again («отправить повторно»).

Пользователи Office 365 действительно получают подобные
сообщения, если отправка какого-либо письма не удалась. Однако эти уведомления
выглядят несколько иначе. Никакой кнопки Send Again со ссылкой в легитимном
уведомлении нет.

А зачем эта красная
кнопка?

В фальшивке пользователей, как можно догадаться,
перенаправляют на фишинговый сайт, на котором имитируется форма логина в Office
365, причем почтовый адрес пользователя там уже фигурирует, остается только
ввести пароль — на радость злоумышленникам.

microsoft600.jpgФишинговые письма маскируют под сообщения Office 365

После ввода пароля, функция JavaScript sendmail() отправит
почтовый адрес и введенный пароль скрипту sendx.php, а затем снова перенаправит
уже на легитимную страницу логина в Office 365 с сообщением о том, что введенный
пароль не подходит.

«Это простой и довольно типичный способ серийной кражи
паролей, — отмечает Олег Галушкин,
директор по информационной безопасности компании SEC Consult Services. — К
сожалению, как показывает практика, даже такие незамысловатые финты работают
весьма эффективно. В данном случае расчет идет на невнимательность
пользователя, а соответственно единственный надежный способ противостоять
такому фишингу — это приучить себя перепроверять источники подобных сообщений и
сайты, на которые они ведут».

Интересно, что хакеры готовили ловушку относительно небрежно.
Эксперт, первым обнаруживший фишинговую компанию, обратил внимание, что
уведомление «от Office 365» поступает якобы из доменных адресов IBM в США —
Postmaster@us.ibm.com. Однако, учитывая, что Postmaster — это типовое
наименование автоматических уведомлений, на то, что находится после @ многие
пользователи действительно не обратили бы внимание.

Источник