Phishing-trucs met Microsoft Office

Als een inkomend bericht u vraagt om in loggen op uw MS Office-account, leest u hier wat u moet doen.

Met toegang tot bedrijfsmail kunnen cybercriminelen business e-mail compromise–aanvallen uitvoeren. Daarom zien we zo veel phishing-berichten die gericht zijn op zakelijke gebruikers waarin wordt gevraagd om in te loggen op websites die eruit zien als de inlogpagina van MS Office. Dat dat betekent dat het zeer belangrijk is om te weten waar u op moet letten als een link naar zo’n soort pagina doorverwijst.

Dat cybercriminelen proberen om inloggegevens voor Microsoft Office-accounts te stelen is niets nieuws. De methodes die ze daarvoor gebruiken worden echter steeds geavanceerder. Vandaag gebruiken we een voorbeeld uit de echte wereld — een bericht dat we daadwerkelijk ontvingen —  om best practices te laten zien en een aantal van de nieuwe trucs verder door te lichten.

Nieuwe phishing-truc: HTML-bijlage

Een phishing-bericht bevat normaal gesproken een hyperlink naar een nepwebsite. Zoals we al regelmatig zeggen moeten hyperlinks zorgvuldig bestudeerd worden, en dan zowel het algemene uiterlijk ervan als het daadwerkelijke adres waar ze u naartoe leiden (door met uw muis over de URL te gaan wordt het doeladres zichtbaar in de meeste mailclients en web-interfaces). Maar toen voldoende mensen deze eenvoudige voorzorgsmaatregel ook echt namen, begonnen phishers met het vervangen van links door bijgevoegde HTML-bestanden, met als enige doel om de doorverwijzing te automatiseren.

Door op de HTML-bijlage te klikken wordt hij in een browser geopend. Wat betreft het phishing-aspect heeft het bestand slechts één regel met code (javascript: window.location.href) met het adres van de phishing-website als variabele. Het dwingt de browser om de website in hetzelfde venster te openen.

Waar u op moet letten in een phishing-bericht

Afgezien van de nieuwe tactieken blijft phishing gewoon phishing, dus begin met het bericht zelf. Dit is het bericht dat wij ontvingen. In dit geval is het een nepmelding voor een inkomend audiobericht:

Een phishing-berichtVoor we op de bijlage klikken, moeten we een aantal vragen beantwoorden:

  1. Kent u de afzender? Is het waarschijnlijk dat iemand op uw werk u een audiobericht stuurt?
  2. Is binnen uw bedrijf normaal om audioberichten per e-mail te versturen? Niet dat het tegenwoordig nog veel gebruikt wordt, maar Microsoft 365 ondersteunt audiomail al sinds januari 2020 niet meer.
  3. Kent u de app waar de melding van komt? MS Recorder maakt geen deel uit van het Office-pakket en de standaard-app van Microsoft voor geluidsopnames die in theorie audioberichten kan versturen is Voice Recorder, en niet MS Recorder.
  4. Ziet de bijlage eruit als een audiobestand? Voice Recorder kan audio-opnames delen, maar verstuurt deze als .m3a-bestanden. Zelfs als de opname van een onbekende tool komt en opgeslagen is op een server, zou er een link naartoe moeten zijn, geen bijlage.

Samengevat: we hebben een bericht ontvangen van een onbekende afzender met daarin een zogenaamde audio-opname (een functie die we nooit gebruiken) die is opgenomen met een onbekend programma en verzonden als een bijgevoegde webpagina. De moeite van het openen waard? Absoluut niet.

Hoe u een phishing-pagina herkent

Stel dat u op de bijlage hebt geklikt en op een phishing-pagina bent beland. Hoe kunt u zien dat dit geen legitieme site is?

Een phishing-webpagina

Hier moet u op letten:

  1. Ziet de inhoud van de adresbalk eruit als een Microsoft-adres?
  2. Verwijzen de links “Geen toegang tot uw account” en “Inloggen met een veilige sleutel” naar de juiste pagina’s? Zelfs op een phishing-pagina kunnen die links best naar echte Microsoft-pagina’s doorverwijzen, maar in ons geval waren ze inactief, wat een duidelijk teken van fraude is.
  3. Ziet het venster er correct uit? Microsoft heeft normaal gesproken geen problemen met details zoals de schaal van achtergrondafbeeldingen. Er kan natuurlijk altijd sprake zijn van een glitch, maar dit soort afwijkingen zouden wel argwaan moeten wekken.

Als u twijfels hebt, ga dan naar https://login.microsoftonline.com/ om te zien hoe de inlogpagina van Microsoft er daadwerkelijk uitziet.

Hoe zorgt u ervoor dat u hier niet intrapt?

Om te voorkomen dat u uw Office-accountgegevens aan onbekende aanvallers geeft:

Tips