'TurkeyBombing' phishing-fidus

Vi lever i usikre og hidtil usete tider, hvor vores daglige liv er blevet hævet som en konsekvens af den globale pandemi. Store segmenter af mennesker er blevet tvunget til at flytte adskillige aspekter af deres sædvanlige aktiviteter til onlineområdet, hvilket skaber en betydelig mulighed for cyberkriminelle. Tidligere i 2020 afdækkede infosec-forskere allerede flere tilfælde, hvor trusselaktører benyttede sig af Zoom Video Communications-platformen til at forstyrre onlinemøder i begge arbejdsmiljøer såvel som personer, der har forbindelse til deres familier og pårørende.

En langt mere uhyggelig kampagne blev imidlertid løsladt omkring Thanksgiving og kunne fortsætte et stykke tid. Navngivet TurkeyBombing, målrettet det mod millioner af potentielle ofre med tusinder, der allerede er faldet for taktikken. Cyberkriminelle har som mål at opnå Microsoft-legitimationsoplysninger for intetanende Zoom-brugere, der muligvis har brugt platformen i løbet af den lange Thanksgiving-weekend.

Hackere drager fordel af Thanksgiving for at gennemføre phishing-angreb

Angrebet begynder med, at hackere spreder utallige phishing-e-mails. De vildledende e-mails angiver, at den målrettede bruger har modtaget en videokonferenceinvitation og indeholder et link, der formodes at føre brugeren til konferenceopkaldet. I stedet omdirigerer det beskadigede link til en falsk Microsoft-login-side, der hostes på Appspot.com. Dette er et legitimt domæne, som softwareudviklere ofte bruger til at være vært for webapplikationer i et Google-administreret datacenter.

Login-siden er dog langt fra legitim, da den høster alle legitimationsoplysninger, som offeret indtaster. For yderligere at mindske brugernes chancer for at bemærke, at noget er galt, udfylder den falske login-side feltet, der beder om en e-mail-adresse med brugerens e-mail. Derefter beder det om legitimationsoplysninger for en tilknyttet Microsoft-konto. Ud over at indsamle alle disse legitimationsoplysninger registrerer destinationssiden også offerets IP-adresse og geolocation. Hvis hackerne modtager en Microsoft-privilegeret kontos legitimationsoplysninger, vil de forsøge at få adgang til det via en IMAP-legitimationsbekræftelse (Internet Message Access Protocol).

Indtil videre er det bekræftet, at cyberkriminelle har formået at få over 3600 unikke e-mail-adresser fra ofre. Med millioner af mennesker, der forsøger at se deres kære i løbet af Thanksgiving-weekenden, hvilket resulterer i flere millioner videoopkald, kan det faktiske antal kompromitterede konti være meget større.