Aanvallers misbruiken Microsoft Sway in grootschalige campagne
In een grootschalige phishing-campagne worden QR-codes die een gebruiker moeten verleiden om zijn of haar credentials te overhandigen gehost op een Microsoft Sway-webpagina. Hierdoor lijkt het alsof het een valide Microsoft-loginpagina is.
Microsoft Sway
Microsoft Sway is een tool in de Microsoft-cloud die waarin men onder andere interactieve rapporten, nieuwsbrieven en andere pagina’s kan maken. In juli van dit jaar heeft Netskope Threat Labs echter ontdekt dat er een grote toename is in het misbruik van dit platform om QR-phishing (ook wel ‘quishing’) te hosten.
Geldig certificaat & valide Microsoft URL
Omdat deze pagina’s gehost worden door Microsoft op één van haar vele domeinen (in dit geval *.sway.cloud.microsoft.com) lijkt het voor de gebruiker een valide Microsoft-URL te zijn, met zelfs een geldig certificaat ondertekent door Microsoft zelf. Hierdoor is het risico dat de link vertrouwd wordt door beveiligingssystemen en door de gebruiker zelf een stuk groter.
QR-code phishing
Bij QR-code phishing (quishing) wordt er alleen een QR-code en een kort tekstje getoond om de gebruiker aan te moedigen de code te scannen met een smartphone. Vervolgens wordt er een link geopend waarbij de daadwerkelijke phishing-pagina wordt getoond waarbij de gebruiker een geldig uitziende Microsoft-loginpagina te zien krijgt.
Als de gebruiker hierop inlogt, wordt het authenticatieverzoek naar de echte Microsoft-servers gestuurd en krijgt de gebruiker een MFA-prompt, de terugkoppeling hierop wordt vervolgens naar de servers van de aanvaller teruggestuurd en daar wordt ingelogd. In veel gevallen wordt ook de browser van de gebruiker doorgestuurd naar een Microsoft-pagina, zodat het lijkt dat het inloggen gelukt is en er geen wantrouwen wordt gecreëerd.
Meer weten of benieuwd of jouw systemen kwetsbaar zijn?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Amerikaanse overheid stopt financiering van MITREDe Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
- Microsoft dicht actief gebruikt zero-day lek in WindowsMicrosoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.
- Ransomware bende gebruikt webcam om systemen te versleutelenRansomware bende gebruikt webcams om ransomware ongezien in een netwerk te verspreiden.
- Malware vermomd als CAPTCHA-verificatieNieuwe malware doet zich voor als een defecte CAPTCHA. Gebruikers volgen herstelinstructies, maar voeren zo onbewust malware uit.
- Biometrische authenticatie & deepfakesBiometrische beveiliging is kwetsbaar door deepfakes. Geavanceerde AI kan vingerafdrukken, gezichten en stemmen nabootsen, wat serieuze risico’s oplevert.