Nicolai Busekist
Hackere finder hele tiden nye måder, hvorpå de kan stjæle login-oplysninger – og nu har de fundet et nyt trick til at stjæle Microsoft-logins.
Cyberkriminelle har fundet en smart måde at få phishing-sider til at ligne ægte login-sider, hvilket har gjort det muligt for dem at stjæle Microsoft-loginoplysninger, advarer eksperter.
Eksperterne fra Push Security har for nylig offentliggjort en dybdegående rapport, der forklarer, hvordan denne metode fungerer. I rapporten beskrives det, hvordan de ondsindede hackere opretter falske login-sider, der efterligner Microsoft 365’s officielle login-skærm.
I stedet for at sende ofrene direkte til siden – hvilket højst sandsynligt ville blive opdaget og blokeret af sikkerhedssystemer – udnyttede hackerne en Microsoft-funktion kaldet Active Directory Federation Services (ADFS).
Normalt bruger virksomheder ADFS til at forbinde deres interne systemer med Microsofts tjenester, skriver TechRadar.
Sådan beskytter du dig
Angriberne oprettede deres egen Microsoft-konto og konfigurerede den med ADFS. På den måde kunne Microsofts eget system narres til at omdirigere brugere til phishing-siden, samtidig med at linket så legitimt ud – det startede f.eks. med noget som outlook.office.com, hvilket skaber tillid hos ofrene.
Desuden blev phishing-linket ikke sendt via e-mail, men via malvertising, som er ondsindede annoncer. Ofrene søgte f.eks. efter ‘Office 265’, som sandsynligvis var en tastefejl, og blev derefter ført til en falsk Office-login-side.
Annoncen benyttede desuden en falsk rejseblog ved navn bluegraintours[.]com som mellemled for at skjule angrebet, lyder det fra TechRadar.
Hele opsætningen af kampagnen gjorde den ekstra farlig. Fordi linket så ud til at komme fra Microsoft og samtidig kunne omgå mange sikkerhedsværktøjer, var succesraten sandsynligvis højere end ved klassisk phishing.
Yderligere gjorde metoden brug af ikke at sende e-mails, hvilket betød, at almindelige filtre ikke opdagede truslen. Endnu mere alvorligt var det, at den falske login-side kunne omgå totrinsbekræftelse (MFA), som normalt beskytter konti ekstra godt.
Hvad kan virksomheder og brugere gøre?
For at forhindre, at denne type svindel får alvorlige konsekvenser, bør IT-afdelinger blokere annoncer eller som minimum overvåge trafikken fra annoncer, og samtidig holde øje med omdirigeringer fra Microsoft-login til ukendte domæner.
Endelig bør brugere være ekstra opmærksomme, når de indtaster søgeord i f.eks. Google. Selv en lille tastefejl kan føre til en falsk annonce, som i værste fald kan kompromittere enheden og give hackere adgang til dine konti.
