Kullanıcıları, kimlik bilgilerini çalmak için sahte bir Microsoft sayfası sunan kötü niyetli bir videoyu oynatmaya ikna etmeye çalışan çok adımlı benzersiz bir siber saldırı gözlemlendi.
Algı Noktasındaki ekip, kimlik avı kampanyası hakkında bir rapor yayınladı ve saldırıların, İngiliz e-posta güvenlik şirketi Egress’ten gelen bir faturayı içeren bir e-postayla başladığını belirtti. Rapor, sahte Çıkış e-postasının geçerli bir gönderen imzası içerdiğini ve bir Çıkış çalışanının daha önce başarılı bir şekilde hesap devraldığının sinyalini verdiğini kaydetti.
“Açıkçası bu bir [account takeover] çünkü 1) e-posta kullanıcının imzasını içerir ve 2) SPF’yi geçer ve Microsoft’tan gönderilir [Outlook],” araştırmacılar bugün bir blog yazısında açıkladılar. “İki aşamalı kimlik avı saldırıları genellikle güvenliği ihlal edilmiş hesaplar tarafından gönderildiğinden, bu tür kimlik avı saldırılarını, özellikle alıcı göndereni biliyor ve güveniyorsa, daha da tehlikeli hale getirir.”
Kullanıcı dolandırıcılık Çıkış faturasına tıkladığında meşru video paylaşım platformu Powtoon’a yönlendirilir. Saldırganlar Powtoon’u kötü amaçlı bir video oynatmak için kullanırlar ve sonunda kurbana kimlik bilgilerinin toplandığı çok inandırıcı bir sahte Microsoft oturum açma sayfası sunarlar.
Araştırmacılar, saldırı metodolojisinin dikkate değer olduğunu söyledi. İki adımlı Algılama Noktası raporuna göre, “Bu, birden fazla adım, hesap ele geçirme ve video içeren oldukça karmaşık bir kimlik avı saldırısıdır” video kimlik avı kampanyası.
.
