Bedrägeri med begäran om återställning av lösenord för Office 365

Bedrägliga e-postmeddelanden märkta som en "Office 365-lösenordsåterställningsbegäran" är en typ av nätfiske som är utformat för att lura mottagare att lämna ut Microsoft 365-inloggningsuppgifter. De ser ut som legitim hjälp med lösenordsåterställning, men är helt falska. Dessa meddelanden är inte kopplade till Microsoft, Microsoft 365 eller någon legitim tjänsteleverantör – de är kriminella försök att stjäla inloggningar för bedrägerier, identitetsstöld, nätverkskompromettering och distribution av skadlig kod.

Hur bluffen ser ut

Angripare skickar e-postmeddelanden som utger sig för att vara meddelanden om återställning av lösenord i Microsoft 365. En vanlig ämnesrad är "OLÖST REMITTANCE" (den exakta formuleringen kan variera). Texten låtsas erbjuda steg för att återställa lösenordet för ditt Microsoft-konto och innehåller vanligtvis en länk till en inloggningssida som visuellt efterliknar den officiella inloggningsskärmen för Microsoft 365. Den falska sidan är ett formulär för datafångst: allt du skriver går direkt till bedragarna.

Hur den falska webbplatsen och insamlingen av autentiseringsuppgifter fungerar

Den falska webbsidan är avsiktligt utformad för att se autentisk ut, så att användarna skriver in sitt användarnamn och lösenord. När de väl har angetts registreras inloggningsuppgifterna och överförs till angriparna. Med dessa inloggningsuppgifter kan brottslingarna logga in på det riktiga kontot, ändra inställningar, läsa eller vidarebefordra e-postmeddelanden och få åtkomst till alla tjänster som är kopplade till det kontot (molnlagring, företagsresurser, finansiella tjänster, sociala medier etc.).

De verkliga skadorna — Utöver att en enda inloggning blir stulen

Komprometterade Microsoft 365-konton är attraktiva eftersom de ofta ger åtkomst till företagsresurser. Konsekvenser inkluderar:

• lateral förflyttning inom företagsnätverk (vilket leder till att skadlig kod – trojaner, ransomware – distribueras),
• datastöld och exponering av konfidentiella filer,
• kontoövertagande för ekonomiskt bedrägeri, donations-/låneförfrågningar med din identitet, och
• ytterligare spridning av nätfiske eller skadlig kod genom att skicka skadliga e-postmeddelanden från en betrodd adress.

Varningstecken att hålla utkik efter

• Oväntade eller vaga ämnesrader som "OLÖST REMITTANCE" eller liknande formuleringar.
• Brådskande språk som pressar dig att klicka på en länk eller återställa nu.
• Avsändaradress eller svarsmeddelande som inte matchar officiella Microsoft-domäner.
• Länkar som leder till domäner som inte tillhör Microsoft (håll muspekaren över den för att granska).

• Inloggningssidor med små visuella inkonsekvenser — felstavningar, udda teckensnitt eller webbadresser som inte matchar login.microsoft.com.

• Bilagor eller länkar till okända filer eller komprimerade arkiv.

Vad du ska göra om du har angett inloggningsuppgifter eller misstänker att ett intrång har inträffat

Ändra lösenordet för det berörda Microsoft 365-kontot direkt och för alla konton som använde samma lösenord.

Kontakta officiell support för den/de berörda tjänsten/tjänsterna (använd telefon/webbplats som du vet är legitim) och informera dem om komprometteringen; aktivera multifaktorautentisering (MFA) om det inte redan är aktivt.

Hur spamkampanjer levererar skadlig programvara

Skräppost är inte bara stöld av autentiseringsuppgifter – det är också en vanlig vektor för skadlig kod. Kampanjer bifogar eller länkar till skadliga filer (RAR/ZIP-arkiv, EXE, RUN), Office-dokument som kräver aktivering av makron, OneNote-filer med inbäddade länkar, JavaScript-filer, PDF-filer och liknande. Vissa filer körs omedelbart när de öppnas; andra kräver att användaren aktiverar innehåll eller klickar på inbäddade länkar för att starta infektionskedjan.

Slutord

Dessa e-postmeddelanden med "förfrågan om återställning av lösenord för Office 365" är bedrägliga och är inte kopplade till Microsoft, Microsoft 365 eller någon legitim tjänsteleverantör. Om du får ett e-postmeddelande, klicka inte på länkar eller ange inloggningsuppgifter; behandla det som en säkerhetsincident och följ de omedelbara åtgärderna ovan.