Oszustwo „Microsoft Request Verification”.

Badacze Infosec wykryli kolejną szkodliwą kampanię phishingową mającą na celu zebranie danych logowania użytkowników. Tym razem e-maile z przynętą są przedstawiane jako powiadomienia pochodzące od firmy Microsoft, prosząc odbiorców o zweryfikowanie ich kont. Fałszywe e-maile sugerują, że ważne informacje dotyczące rzekomego zamówienia złożonego przez użytkownika znajdują się w dokumencie, do którego prowadzi link. aby przejrzeć dane w dokumentach, użytkownicy proszeni są o kliknięcie przycisku „Zweryfikuj swoją tożsamość”, znajdującego się w wprowadzających w błąd wiadomościach e-mail.

Jak zwykle w przypadku tych taktyk phishingowych, dostarczony przycisk przekieruje użytkowników do specjalnie spreparowanej strony phishingowej. Wizualny wygląd niebezpiecznej witryny może być podobny do oficjalnej strony Microsoft lub dostosowany do dostawcy usług pocztowych ofiary. W obu przypadkach użytkownicy zostaną poproszeni o podanie hasła do konta w celu zalogowania się i wyświetlenia szczegółów fałszywego zamówienia. Wszystkie informacje przekazane na niewiarygodną stronę zostaną naruszone, jeśli staną się dostępne dla oszustów.

Konsekwencje dla ofiar mogą być znaczące. Oszuści mogą wykorzystywać zebrane dane uwierzytelniające do przejmowania odpowiednich kont e-mail i wykorzystywania ich do licznych oszukańczych działań. Mogą prosić kontakty ofiary o pieniądze, rozpowszechniać złośliwe oprogramowanie, rozpowszechniać dezinformację lub próbować jeszcze bardziej rozszerzyć swój zasięg poprzez włamanie się na dodatkowe konta powiązane z naruszoną pocztą e-mail. Informacje zebrane przez oszustów mogą być również pakowane i oferowane do sprzedaży na forach hakerskich.