Penipuan 'Microsoft Request Verification'

Penyelidik Infosec menemui satu lagi kempen pancingan data berbahaya yang bertujuan untuk mengumpul bukti kelayakan log masuk pengguna. Kali ini e-mel gewang dibentangkan sebagai pemberitahuan yang datang daripada Microsoft, meminta penerima untuk mengesahkan akaun mereka. E-mel palsu membayangkan bahawa maklumat penting mengenai pesanan yang sepatutnya dibuat oleh pengguna terkandung dalam dokumen yang dipautkan. untuk menyemak data dalam dokumen, pengguna diminta untuk mengklik pada butang 'Sahkan Identiti Anda yang terdapat dalam e-mel yang mengelirukan.

Seperti yang biasa berlaku dalam taktik pancingan data ini, butang yang disediakan akan mengarahkan pengguna ke halaman pancingan data yang dibuat khas. Penampilan visual tapak yang tidak selamat mungkin serupa dengan halaman Microsoft rasmi atau dilaraskan agar sepadan dengan pembekal perkhidmatan e-mel mangsa. Dalam kedua-dua kes, pengguna akan diminta memberikan kata laluan akaun mereka untuk log masuk dan melihat butiran pesanan palsu. Semua maklumat yang diberikan kepada tapak yang tidak boleh dipercayai akan dikompromi dengan menjadi tersedia kepada penipu.

Akibat untuk mangsa mungkin besar. Penipu boleh menggunakan bukti kelayakan yang dikumpul untuk mengambil alih akaun e-mel yang sepadan dan mengeksploitasinya untuk pelbagai aktiviti penipuan. Mereka mungkin meminta wang daripada kenalan mangsa, menyebarkan perisian hasad, menyebarkan maklumat salah atau cuba mengembangkan lagi jangkauan mereka dengan menjejaskan akaun tambahan yang disambungkan ke e-mel yang dilanggar itu. Maklumat yang dikumpul oleh penipu juga mungkin dibungkus dan ditawarkan untuk dijual di forum penggodam.