Aanvallers misbruiken Microsoft Sway in grootschalige campagne
In een grootschalige phishing-campagne worden QR-codes die een gebruiker moeten verleiden om zijn of haar credentials te overhandigen gehost op een Microsoft Sway-webpagina. Hierdoor lijkt het alsof het een valide Microsoft-loginpagina is.
Microsoft Sway
Microsoft Sway is een tool in de Microsoft-cloud die waarin men onder andere interactieve rapporten, nieuwsbrieven en andere pagina’s kan maken. In juli van dit jaar heeft Netskope Threat Labs echter ontdekt dat er een grote toename is in het misbruik van dit platform om QR-phishing (ook wel ‘quishing’) te hosten.
Geldig certificaat & valide Microsoft URL
Omdat deze pagina’s gehost worden door Microsoft op één van haar vele domeinen (in dit geval *.sway.cloud.microsoft.com) lijkt het voor de gebruiker een valide Microsoft-URL te zijn, met zelfs een geldig certificaat ondertekent door Microsoft zelf. Hierdoor is het risico dat de link vertrouwd wordt door beveiligingssystemen en door de gebruiker zelf een stuk groter.
QR-code phishing
Bij QR-code phishing (quishing) wordt er alleen een QR-code en een kort tekstje getoond om de gebruiker aan te moedigen de code te scannen met een smartphone. Vervolgens wordt er een link geopend waarbij de daadwerkelijke phishing-pagina wordt getoond waarbij de gebruiker een geldig uitziende Microsoft-loginpagina te zien krijgt.
Als de gebruiker hierop inlogt, wordt het authenticatieverzoek naar de echte Microsoft-servers gestuurd en krijgt de gebruiker een MFA-prompt, de terugkoppeling hierop wordt vervolgens naar de servers van de aanvaller teruggestuurd en daar wordt ingelogd. In veel gevallen wordt ook de browser van de gebruiker doorgestuurd naar een Microsoft-pagina, zodat het lijkt dat het inloggen gelukt is en er geen wantrouwen wordt gecreëerd.
Meer weten of benieuwd of jouw systemen kwetsbaar zijn?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- NIS2 in de praktijk: wat de toezichthouder echt van je verwachtDe Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, staat op het punt in werking te treden. Op […]
- Zero trust: wat het betekent buiten de marketingfolderAls je de afgelopen jaren leveranciers van beveiligingssoftware hebt gesproken, is de kans groot dat zero trust voorbij […]
- Wat een cyberaanval echt kost: verder dan de directe schadeAls organisaties nadenken over het risico van een cyberaanval, gaat de gedachte al snel naar de directe schade: […]
- CIFSwitch: een negentien jaar oude Linux-kwetsbaarheid die nu actie vraagtEen kwetsbaarheid die sinds 2007 in de Linux-kernel aanwezig is, maakt het mogelijk om volledige systeemrechten te verkrijgen […]
- YellowKey: een USB-stick waarmee BitLocker-versleuteling op Windows omzeild wordtBitLocker is de ingebouwde versleutelingsfunctie van Windows waarmee organisaties hun laptops en servers beschermen tegen onbevoegde toegang. De […]
Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.
