Google Docs gebruikt voor phishing van Office 365-inloggegevens

Phishers gebruiken online Google-diensten om accounts van online Microsoft-diensten over te nemen.

Sinds de start van de COVID-19-pandemie hebben veel bedrijven hun werkzaamheden naar een online omgeving verplaatst en hebben ze moeten leren om nieuwe samenwerkingstools te gebruiken. Vooral het Office 365-pakket van Microsoft wordt hierdoor veel meer gebruikt, en het mag geen verrassing heten dat er nu dus ook veel meer phishing-pogingen zijn om die gebruikersaccounts aan te vallen. Scammers zijn op zoek gegaan naar allerlei trucs om zakelijke gebruikers te verleiden hun wachtwoorden op een website in te vullen die eruitziet als de inlogpagina van Microsoft. Hier bespreken we weer een phishing-truc die gebruikmaakt van Google-diensten.

Phishing-bericht

Zoals bij de meeste phishing-trucs, begint het met een bericht (en link) dat vergelijkbaar is met het volgende:

Een phishing-bericht met een Google Docs-link

Het onduidelijke bericht van een onbekende afzender heeft het over een soort aanbetaling en verstrekt een link die te maken heeft met een “Aanbetalingsadvies”. Het bericht vraagt de ontvanger om het aanbetalingstype te controleren en het bedrag te bevestigen. Hoewel beveiligingssystemen ontvangers waarschuwen over het feit dat het bericht van buiten het bedrijf afkomstig is, lijkt de link “naar het bestand” betrouwbaarder omdat het naar een legitieme online Google-dienst verwijst, en geen phishing-site.

Phishing-site

De link leidt naar een locatie die op de zakelijke OneDrive-servicepagina lijkt te staan. Gebruikers kunnen zelfs zien dat het document toegankelijk is voor elke bedrijfsmedewerker (wat waarschijnlijk gedaan is in de hoop dat iemand de link zal doorsturen naar een bedrijfsaccountant).

Een Google Docs-presentatie die er meer uitziet als de interface van OneDriveMaar het scherm dat de gebruikers zien is niet echt een webpagina; het is een slide van een Google Docs-presentatie die automatisch in de weergavemodus wordt geopend. De knop Openen kan elk soort link verhullen. In dit geval verwijst de link naar een phishing-pagina die is vermomd als een Office 365-inlogpagina.

Nep-inlogpaginaRode vlaggen

Om te beginnen ziet het bericht er vreemd uit. U moet nooit een bericht vertrouwen waarvan de bron en het doel niet meteen duidelijk zijn, laat staan zo’n bericht doorsturen. Als u in dit geval bijvoorbeeld helemaal niets te maken hebt met een aanbetaling, dan moet u wellicht ook helemaal geen actie ondernemen betreffende een aanbetaling.

Meer bewijs:

  • Berichten van externe bronnen linken over het algemeen niet naar interne bedrijfsdocumenten;
  • Echte financiële documenten zijn toegankelijk voor bepaalde mensen, niet voor iedereen binnen een organisatie;
  • De bestandsnaam in het bericht komt niet overeen met die van het bestand dat zogenaamd is opgeslagen op OneDrive;
  • Google Docs host geen Microsoft OneDrive-pagina’s (zie de adresbalk van de browser);
  • OneDrive is geen Outlook, en de knop Openen in OneDrive zou niet naar een loginpagina van Outlook moeten leiden.
  • De inlogpagina’s van Outlook staan niet op Amazon-website (nog een clue in de adresbalk van de browser).

Elk van deze inconsistenties zou de alarmbellen moeten laten rinkelen en laten geen ruimte voor twijfel: dit is geen veilige plek voor uw Office 365-inloggegevens.

Zo blijft u beschermd

Het belangrijkste om te doen voor het waarborgen van uw digital veiligheid is het schenken van aandacht aan details en u bewust zijn van phishing-trucs. We raden u ook ten zeerste aan om binnen uw bedrijf voorlichting te geven over huidige cyberdreigingen, (en onze training hiervoor vindt u online).

Naast het trainen van uw personeel, moet u gebruikmaken van link-screening tools op bedrijfs- en werkstation-niveaus.

Tips