Svindel med anmodning om nulstilling af adgangskode til Office 365

Svindelmails mærket som en 'Office 365-anmodning om nulstilling af adgangskode' er en type phishing, der er designet til at narre modtagere til at udlevere Microsoft 365-legitimationsoplysninger. De ligner legitim hjælp til nulstilling af adgangskode, men er helt falske. Disse beskeder er ikke forbundet med Microsoft, Microsoft 365 eller nogen legitim tjenesteudbyder – de er kriminelle forsøg på at høste logins til svindel, identitetstyveri, netværkskompromittering og distribution af malware.

Sådan ser svindelnummeret ud

Angribere sender e-mails, der udgiver sig for at være meddelelser om nulstilling af adgangskode i Microsoft 365. En almindelig emnelinje er 'UAFHJÆLPET OVERFØRSEL' (den nøjagtige ordlyd kan variere). Brødteksten foregiver at tilbyde trin til at nulstille din Microsoft-kontoadgangskode og inkluderer normalt et link til en loginside, der visuelt efterligner den officielle Microsoft 365-loginskærm. Den falske side er en formular til dataindsamling: uanset hvad du skriver, går det direkte til svindlerne.

Sådan fungerer det falske websted og indsamling af legitimationsoplysninger

Den falske webside er bevidst designet til at se autentisk ud, så brugerne indtaster deres brugernavn og adgangskode. Når de er indtastet, registreres loginoplysningerne og sendes til angriberne. Med disse loginoplysninger kan de kriminelle logge ind på den rigtige konto, ændre indstillinger, læse eller videresende e-mails og få adgang til enhver tjeneste, der er knyttet til den pågældende konto (cloud-lagring, virksomhedsressourcer, finansielle tjenester, sociale medier osv.).

De virkelige skader — ud over at et enkelt login bliver stjålet

Kompromitterede Microsoft 365-konti er attraktive, fordi de ofte giver adgang til virksomhedens ressourcer. Konsekvenserne omfatter:

• lateral bevægelse inden for virksomhedens netværk (hvilket fører til udrulning af malware — trojanere, ransomware)
• datatyveri og eksponering af fortrolige filer,
• kontoovertagelse i forbindelse med økonomisk svindel, donations-/låneanmodninger ved hjælp af din identitet, og
• yderligere spredning af phishing eller malware ved at sende ondsindede e-mails fra en betroet adresse.

Advarselstegn at holde øje med

• Uventede eller vage emnelinjer som 'UAFSLØRT OVERFØRSEL' eller lignende formuleringer.
• Presserende sprog, der presser dig til at klikke på et link eller nulstille nu.
• Afsenderadresse eller svar, der ikke matcher officielle Microsoft-domæner.
• Links, der fører til ikke-Microsoft-domæner (hold musen over for at inspicere).

• Login-sider med små visuelle uoverensstemmelser — stavefejl, mærkelige skrifttyper eller URL'er, der ikke matcher login.microsoft.com.

• Vedhæftede filer eller links til ukendte filer eller komprimerede arkiver.

Hvad skal du gøre, hvis du har indtastet legitimationsoplysninger eller har mistanke om kompromitteret sikkerhedskopiering?

Skift adgangskoden på den berørte Microsoft 365-konto med det samme og på alle konti, der brugte den samme adgangskode.

Kontakt den officielle support for den/de involverede tjeneste(r) (brug telefonnummer/websted, du ved er legitimt), og informer dem om kompromitteringen; aktiver multifaktorgodkendelse (MFA), hvis det ikke allerede er aktivt.

Hvordan spamkampagner leverer malware

Spam er ikke kun tyveri af legitimationsoplysninger – det er også en almindelig malwarevektor. Kampagner vedhæfter eller linker til ondsindede filer (RAR/ZIP-arkiver, EXE, RUN), Office-dokumenter, der kræver aktivering af makroer, OneNote-filer med integrerede links, JavaScript-filer, PDF-filer og lignende. Nogle filer køres med det samme, når de åbnes; andre kræver, at brugeren aktiverer indhold eller klikker på integrerede links for at starte infektionskæden.

Sidste ord

Disse e-mails med 'Anmodning om nulstilling af Office 365-adgangskode' er svigagtige og er ikke forbundet med Microsoft, Microsoft 365 eller nogen legitim tjenesteudbyder. Hvis du modtager en, skal du ikke klikke på links eller indtaste legitimationsoplysninger; behandl det som en sikkerhedshændelse og følg ovenstående trin til øjeblikkelig handling.