'Microsoft Request Verification' Scam

Natuklasan ng mga mananaliksik ng Infosec ang isa pang mapaminsalang kampanya sa phishing na naglalayong kolektahin ang mga kredensyal sa pag-log in ng mga user. Sa pagkakataong ito ang mga email ng pang-akit ay ipinakita bilang isang abiso na nagmumula sa Microsoft, na humihiling sa mga tatanggap na i-verify ang kanilang mga account. Ang mga pekeng email ay nagpapahiwatig na ang mahalagang impormasyon tungkol sa isang dapat na order na ginawa ng user ay nakapaloob sa isang naka-link na dokumento. upang suriin ang data sa mga dokumento, hihilingin sa mga user na mag-click sa button na 'I-verify ang Iyong Pagkakakilanlan na makikita sa mga mapanlinlang na email.

Gaya ng karaniwang nangyayari pagdating sa mga taktika sa phishing na ito, ididirekta ng ibinigay na button ang mga user sa isang espesyal na ginawang pahina ng phishing. Ang visual na anyo ng hindi ligtas na site ay maaaring katulad ng sa isang opisyal na pahina ng Microsoft o inayos upang tumugma sa email service provider ng biktima. Sa alinmang kaso, hihilingin sa mga user na ibigay ang kanilang mga password sa account upang mag-log in at tingnan ang mga detalye ng pekeng order. Ang lahat ng impormasyong ibinigay sa hindi mapagkakatiwalaang site ay makokompromiso sa pamamagitan ng pagiging available sa mga manloloko.

Ang mga kahihinatnan para sa mga biktima ay maaaring maging makabuluhan. Maaaring gamitin ng mga con artist ang mga nakolektang kredensyal upang kunin ang mga kaukulang email account at pagsamantalahan ang mga ito para sa marami, mapanlinlang na aktibidad. Maaari silang humingi ng pera sa mga contact ng biktima, magpakalat ng malware, magpakalat ng maling impormasyon, o subukang palawakin pa ang kanilang abot sa pamamagitan ng pagkompromiso sa mga karagdagang account na konektado sa nilabag na email. Ang impormasyong nakolekta ng mga manloloko ay maaari ding i-package at ialok para ibenta sa mga forum ng hacker.