'माइक्रोसॉफ्ट 365' फ़िशिंग घोटाला
विशेष रूप से अमेरिकी सरकार के ठेकेदारों को लक्षित करने वाला एक फ़िशिंग हमला न केवल काफी समय से सक्रिय है, बल्कि आगे भी बढ़ता हुआ प्रतीत होता है। ऑपरेशन के बारे में शुरुआती रिपोर्टों में धोखेबाजों ने अमेरिकी श्रम विभाग के रूप में प्रस्तुत किया, जिसमें लालच संदेशों के साथ प्रासंगिक परियोजनाओं के लिए बोली प्रक्रिया के निर्देशों के साथ पीडीएफ देने का दावा किया गया था। शोधकर्ताओं ने खुलासा किया है कि चोर कलाकार अब परिवहन विभाग और वाणिज्य विभाग के रूप में प्रस्तुत करते हुए लालच संदेश भेजकर पीड़ितों की अधिक विविध श्रेणी को लक्षित करते हैं। फ़िशिंग अभियान की बाद की लहरें लालच संदेशों में सुधार, फ़िशिंग पृष्ठों के अधिक विश्वसनीय व्यवहार, संदिग्ध कलाकृतियों को हटाने और धोखाधड़ी के संकेत आदि को भी प्रदर्शित करती हैं।
शोधकर्ताओं की रिपोर्ट है कि नए फ़िशिंग ईमेल में अब अधिक सुसंगत स्वरूपण है, वैध विभागों के लोगो को अधिक प्रमुखता से प्रदर्शित करते हैं, और फ़ाइल को अटैचमेंट के रूप में ले जाने के बजाय पीडीएफ के लिंक को शामिल करने के लिए स्विच कर दिया है। पीडीएफ की सामग्री को भी पॉलिश किया गया है। पहले के संस्करणों में अत्यधिक तकनीकी जानकारी की एक महत्वपूर्ण मात्रा शामिल थी जिसे अब सुव्यवस्थित किया गया है। डिलीवर किए गए PDF के मेटाडेटा को भी अब नकली विभाग से मिलान करने के लिए सुधारा गया है, जबकि पहले सभी PDF दस्तावेज़ों में एक ही हस्ताक्षरकर्ता था - 'एडवर्ड अम्बेडरेमो'।
धोखेबाजों का लक्ष्य उपयोगकर्ताओं के Microsoft Office 356 खाता क्रेडेंशियल प्राप्त करना है और फ़िशिंग पोर्टल्स पर स्वयं कई सुधार देखे गए हैं। उदाहरण के लिए, अब सभी फ़िशिंग वेबसाइटें एक ही डोमेन के वेब पेजों पर HTTPS का उपयोग करती हैं। फ़िशिंग हमले के संचालकों ने कैप्चा चेक को भी शामिल किया है ताकि यह सहन किया जा सके कि केवल वास्तविक उपयोगकर्ता ही जाल में फंसते हैं।
फ़िशिंग हमले लगातार अधिक परिष्कृत होते जा रहे हैं और उनका पता लगाना कठिन होता जा रहा है। अनपेक्षित संदेश प्राप्त करते समय उपयोगकर्ताओं को हमेशा सावधानी बरतनी चाहिए, भले ही वे किसी प्रतिष्ठित स्रोत से आ रहे हों।
