Исследователи из Menlo Security рассказали о новой фишинговой компании, цель которой — завладеть аккаунтами Microsoft 365 высшего руководства организаций в США. Для достижения этой цели злоумышленники пользуются открытыми перенаправлениями (Open Redirect) с сайта поиска работы Indeed.
Обойти механизмы многократной аутентификации (Multi-Factor Authentication, MFA) киберпреступникам помогает инструмент EvilProxy, который способен собирать сессионные куки. Атакам подвержены исполнительные директора и сотрудники высшего звена из различных отраслей. Среди них сферы: недвижимости, банковского и финансового дела, производства электронной продукции, страхования и управления имуществом.
Открытое перенаправление (Open Redirect) — это тип уязвимости, при котором перенаправление пользователя на внешние URL-адреса допускается веб-приложением без должной проверки. Иначе говоря, киберпреступник создает вредоносную ссылку, перейдя по которой пользователь попадает на опасные или фальшивые веб-сайты. Меры безопасности в данном случае оказываются бессильными, потому как ссылка исходит от доверенного источника.
В обнаруженной кампании злоумышленники отправляют жертвам письма со ссылкой на indeed.com, американский сайт по поиску работы — при этом URL выглядит натурально. После клика она перенаправляет пользователя на фишинговый сайт, действующий как обратный прокси для страницы входа в систему Microsoft. Когда жертва входит в свой аккаунт через имитирующий страницу входа сервер, киберпреступник захватывает ее cookie-файлы, предоставляющие ему полный доступ к аккаунту пользователя.
Получение злоумышленниками конфиденциальной информации, хранящейся в аккаунте, может привести к значительным финансовым потерям и ущербу для репутации компаний. Так данная атака в очередной раз доказывает возросшую необходимость в усилении мер по кибербезопасности. А также подчеркивает важность повышения осведомленности сотрудников об угрозах фишинга.