Svindel med forespørsel om tilbakestilling av passord for Office 365

Svindel-e-poster merket som en «Forespørsel om tilbakestilling av passord for Office 365» er en type phishing som er utformet for å lure mottakere til å gi fra seg Microsoft 365-legitimasjon. De ser ut som legitim hjelp med tilbakestilling av passord, men er helt falske. Disse meldingene er ikke tilknyttet Microsoft, Microsoft 365 eller noen legitim tjenesteleverandør – de er kriminelle forsøk på å høste pålogginger for svindel, identitetstyveri, nettverkskompromittering og distribusjon av skadelig programvare.

Slik ser svindelen ut

Angripere sender e-poster som utgir seg for å være varsler om tilbakestilling av passord for Microsoft 365. En vanlig emnelinje er «ULØST OVERFØRING» (den nøyaktige ordlyden kan variere). Innholdet later som det tilbyr trinn for å tilbakestille passordet for Microsoft-kontoen din, og inkluderer vanligvis en lenke til en påloggingsside som visuelt etterligner den offisielle påloggingsskjermen for Microsoft 365. Den falske siden er et datainnsamlingsskjema: alt du skriver går rett til svindlerne.

Hvordan det falske nettstedet og innsamling av legitimasjon fungerer

Den falske nettsiden er bevisst utformet for å se autentisk ut, slik at brukerne skriver inn brukernavn og passord. Når de er skrevet inn, registreres påloggingsinformasjonen og sendes til angriperne. Med denne påloggingsinformasjonen kan kriminelle logge på den ekte kontoen, endre innstillinger, lese eller videresende e-poster og få tilgang til enhver tjeneste knyttet til den kontoen (skylagring, bedriftsressurser, finansielle tjenester, sosiale medier osv.).

De virkelige skadene – utover at én enkelt pålogging blir stjålet

Kompromitterte Microsoft 365-kontoer er attraktive fordi de ofte gir tilgang til bedriftsressurser. Konsekvenser inkluderer:

• lateral bevegelse innenfor bedriftsnettverk (som fører til utplassering av skadelig programvare – trojanere, ransomware),
• datatyveri og eksponering av konfidensielle filer,
• kontoovertakelse for økonomisk svindel, donasjons-/låneforespørsler ved bruk av identiteten din, og
• ytterligere spredning av phishing eller skadelig programvare ved å sende ondsinnede e-poster fra en pålitelig adresse.

Varseltegn å se etter

• Uventede eller vage emnelinjer som «ULØST BELØPNING» eller lignende formuleringer.
• Hasterspråk som presser deg til å klikke på en lenke eller tilbakestille nå.
• Avsenderadresse eller svar som ikke samsvarer med offisielle Microsoft-domener.
• Lenker som går til domener som ikke tilhører Microsoft (hold musepekeren over for å inspisere).

• Påloggingssider med små visuelle uoverensstemmelser – stavefeil, rare fonter eller URL-er som ikke samsvarer med login.microsoft.com.

• Vedlegg eller lenker til ukjente filer eller komprimerte arkiver.

Hva du skal gjøre hvis du har skrevet inn legitimasjon eller mistenker sikkerhetsbrudd

Endre passordet på den berørte Microsoft 365-kontoen med en gang og på alle kontoer som brukte samme passord.

Kontakt offisiell kundestøtte for den/de involverte tjenesten(e) (bruk telefon/nettsted du vet er legitimt) og informer dem om kompromitteringen; aktiver flerfaktorautentisering (MFA) hvis det ikke allerede er aktivt.

Hvordan spamkampanjer leverer skadelig programvare

Spam er ikke bare tyveri av legitimasjon – det er også en vanlig vektor for skadelig programvare. Kampanjer legger ved eller lenker til skadelige filer (RAR/ZIP-arkiver, EXE, RUN), Office-dokumenter som krever aktivering av makroer, OneNote-filer med innebygde lenker, JavaScript-filer, PDF-filer og lignende. Noen filer kjøres umiddelbart når de åpnes; andre krever at brukeren aktiverer innhold eller klikker på innebygde lenker for å starte infeksjonskjeden.

Siste ord

Disse e-postene med «forespørsel om tilbakestilling av passord for Office 365» er falske og er ikke tilknyttet Microsoft, Microsoft 365 eller noen legitim tjenesteleverandør. Hvis du mottar en e-post, må du ikke klikke på lenker eller oppgi påloggingsinformasjon. Behandle det som en sikkerhetshendelse og følg trinnene for umiddelbar handling ovenfor.