Fjern Office 365 Phishing Scam - Sådan Beskyt dig selv

Denne artikel er blevet oprettet for at forklare dig, hvad der er den Kontor 365 Phishing svindel og hvordan du kan fjerne dem, samt alle potentielt uønskede programmer leveret gennem dem.

Den Kontor 365 Phishing svindel er en populær malware taktik, der forsøger at manipulere computerbrugere i at inficere sig selv med virus eller afsløre deres adgangskoder. I øjeblikket har vi ikke oplysninger om gerningsmændene bag det. Vores artikel giver en grundig forklaring på, hvordan det udbredes, og hvordan ofrene kan prøve at fjerne aktive infektioner.

Kontor 365 Phishing svindel — Opdatering September 2020

I september 2020 phishing-angrebene fortsatte med en ny angrebskampagne med denne fidus. Denne gang har de kriminelle fokuseret på et nyt image og en strategi, der er anderledes end tidligere. De forsøger at manipulere ofrene til at tro, at de får adgang til en legitim Office-login-side ved at falske et kontorrelateret domænenavn.

Den aktuelle metode til levering af webadresserne kan variere. Den mest almindelige metode er at integrere dem i hackerkontrollerede SPAM-kampagner eller gennem andre trusler. Dette kan gøres ved at indsætte links til det i andre flykaprere og hackerstyrede reklamenetværk.

Denne nye phishing-kampagne viser ikke kun en login-skærm, der beder om e-mail-beskeden og derefter tilføjer andre værdier. I stedet vises en loginskærm med logoets billede af tjenesten og visning af felterne for offerets e-mail-adresse og adgangskode. Vi har også modtaget bekræftelse på, at nogle af de viste sider viser oversatte versioner af siden. Dette får os til at tro, at siderne vil implementere sporingscookies og bruge webteknologi til at lokalisere de besøgende. Disse oplysninger vil derefter blive brugt til at give en oversat side af phishing-fidusen.

Kontor 365 Phishing Scam - opdateringen fra oktober 2019

Computer kriminelle nu udnytte en mere avanceret og kompleks teknik med henblik på at påvirke de tilsigtede mål. Ikke alene er de hackere løbende at skabe nye hacker-made websites, men snarere end at skabe falske login prompter de nu bruge en ekstra kontrol. Webstederne er hostet på lignende lydende domænenavne og er designet ligesom de rigtige Microsoft-sider og tilknyttede websteder.

Tidligere når brugerne indtastet i deres legitimationsoplysninger de blev præsenteret med en fejlside, i det øjeblik deres brugernavn og adgangskode vil straks blive videresendt til de kriminelle. De nyere sider dog vilje rør dem på de legitime Microsoft-sider og åbne ofrets indbakke. Den nøjagtige malware sekvens er følgende:

• Ofrene modtager phishing-e-mail-beskeder, der bruger social engineering-taktik for at manipulere modtagerne til at tro, at de har modtaget en legitim besked fra Microsoft. Alle de udstationerede links vil føre til de falske hacker-kontrollerede sider. De er hostet på Azure og indlejret i hacker-made websites. Den farlige faktum er, at disse sider er leveret med Microsoft sikkerhedscertifikater de. De webbrowsere af besøgende vil ikke advare brugerne, at dette er et phishing-websted.
• Når hacker-made login prompter er interageret med og brugerne indtaster i deres legitimationsoplysninger et script vil validere de angivne information. Dette gøres ved at udløse en back-end-klient, der vil mandater via IMAP-protokollen.
• Hvis login er vellykket en hacker-kontrolleret motor vil begynde at hente indholdet af ofrets indbakke. På frontend ofrene vil blive vist til deres legitime indbakker som de legitimationsoplysninger allerede er passeret gennem den indlejrede side.

Disse angreb er kategoriseret som ekstremt farligt, da de fleste brugere vil ikke have nogen mulighed for at vide, at de er blevet ofre for den phishing scam. Brugerne bør være meget forsigtig, når du åbner e-mail-besked meddelelser eller besøger websteder, der er vært på domænenavne, der ikke er hostet af Microsoft.

Dette angreb synes at være koordineret af en meget erfaren hacking gruppe, det giver os grund til at tro, at links også kan sendes ved hjælp af andre kanaler, herunder sociale medier profiler. Hackerne kan bruge hacket eller automatisk genererede profiler og skrive de falske meddelelser der. Dette kan enten være på tidslinjer, vægge og andre offentlige områder, samt gruppe-chat og private beskeder.

Kontor 365 Phishing Scam - Distribution måder – Opdatering September 2019

En ny kampagne er for nylig blevet opdaget af sikkerhedseksperter. Ofrene modtager phishing e-mails om, at det kommer fra supportteam. Brugerne er manipuleret til at tro, at deres password er sat til at udløbe, og de har brug for at nulstille dem. Et link vil blive givet til dem, der vil føre til en login-prompt vindue - hvis brugerne indtaster i deres legitimationsoplysninger de vil blive videresendt til hackere.

Kontor 365 Phishing Scam - Distribution måder – Opdatering August 2019

Flere nye angreb udnytter en falsk login-side. Men den teknik, som angriberne bruger, er hidtil ukendt. De phishing-websteder er vært på skyen infrastruktur Azure som kan gøre mange brugere til at tro, at siden er hostet på de samme servere. Hvad er særlig farlig, er, at når du besøger siden et gyldigt SSL-certifikat fra Microsoft, vil blive vist. Direkte phishing-angreb med forskellige andre tjenester og produkter fra virksomheden kan også gøres mulig: Kontor, OneDrive og etc.

Hackerne har skabt et script, der automatially kan skrabe virksomhedens-brandede ressourcer og skabe meget overbevisende login-sider. Hvad er særligt bekymrende er, at programmører har tilføjet i en ekstra foranstaltning, som kan være temmelig svært at omgå.

> Kontor 365 Phishing Scam - Distribution måder

Der er forskellige scenarier, som hackeroperatørerne bag fidusmeddelelserne kan bruge. De enkelte kampagner kan drives af forskellige individer og grupper og målrettet mod forskellige områder.

En af de hyppigste metoder er fordelingen af spam-e-mails - de sendes i løs vægt og brug web design elementer fra kendte internettjenester, selskaber eller websteder, at brugerne kan bruge. De phishing-sider, de kan tilpasses til at blive vist som sendt af Microsoft. De medfølgende interaktive elementer i stedet for den faktiske service vil føre til scam-login-sider eller virusdownloads.

Et alternativ er at skabe falske hjemmesider der vil bruge lignende klingende domænenavne og indhold. For yderligere at narre brugerne administratorerne kan også tilføje sikkerhedscertifikater, der vil blive indgået med navnet på stedet eller et navn der ligner Microsoft. Deres hovedmål er at tvinge de besøgende til at downloade en fil eller interagere med et script, der i sidste ende vil omdirigere dem til den vigtigste legitime destinationsside.

Disse to metoder er også populære i at udbrede inficerede payload luftfartsselskaber. Der er to primære typer, der kan føre til en vellykket omdirigeringsinfektion:

• Ondsindede Dokumenter - De kriminelle kan håndværk dokumenter, der indeholder ondsindede makroer i alle populære formater: præsentationer, rige tekstdokumenter, databaser og regneark. Når den åbnes brugerne vil blive bedt om at gøre det muligt for de indbyggede scripts, de vil vise redirect side.
• Software Installers - Falske installatører af applikationer relateret til tjenesten eller relaterede produktivitetsapps oprettes. Når de er i gang under installationsproceduren eller når det er færdigt destinationssiden vil blive vist. Hackerne vil typisk målrette apps som produktivitetsværktøjer, add-ons, kreativitet suiter og systemværktøjer. Almindelige infektioner er Office 365-relaterede klienter, Manualer, opdateringer og etc.

Disse filer kan også spredes på fildeling netværk hvor Boh legitiamte og pirat-filer kan findes. De er meget populære til at sende falske installatører ud.

En anden taktik er anvendelsen af browser hijackers der repræsenterer ondsindet web browser plugins. De er lavet kompatibel med de mest populære webbrowsere og uploadet til deres relevante depoter med falske brugeranmeldelser og udvikleroplysninger. De brugere, der besøger siden udvidelser vil blive givet løfter om nye funktioner tilføjelser eller ydeevne optimeringer. Hvis de er installeret, vil browserindstillingerne blive ændret, omdirigere ofrene til phishing-fidusmeddelelsen.

Kontor 365 Phishing Scam - Dybdegående Oversigt

Så snart siden phishing-fidus åbnes, vil brugerne blive dirigeret til en falsk login-prompt. I de fleste tilfælde enhver indtastet kontooplysninger vil automatisk blive sendt til de hacker operatører. Sitet vil blive designet til at ligne Microsofts tjeneste side og kan også benytte en lignende klingende domænenavn eller sikkerhedscertifikater.

I mange tilfælde yderligere trusler vil blive leveret og lanceret. Et eksempel er installationen af tracking cookies og data høst scripts. De bruges til at skabe et unikt id, der er tildelt hver inficerede vært - dette gøres ved at oprette en rapport over alle installerede hardwarekomponenter, vis operativsystem variabler og brugerindstillinger. De indsamlede oplysninger behandles gennem en speciel algoritme, der genererer det unikke id. Den anden type af indsamlede oplysninger er relateret til brugeroplysninger, motoren kan bruges til direkte afsløre identiteten af ​​brugerne. Motoren vil søge efter strygere såsom deres navn, adresse, interesser og eventuelle gemte kontooplysninger. Det betyder, at motoren vil få adgang til både operativsystemet, fil indhold og eventuelle installerede tredjepartsprogrammer. Den høstede information kan anvendes til forskellige forbrydelser, herunder identitetstyveri og finansielle misbrug.

Da de fleste phishing-scam-meddelelser fører til visning af en destinationsside gennem webbrowseren, er der altid mulighed for at placere annoncer og sponsorerede indhold. De kan antage mange former, såsom pop-ups, bannere, omdirigere links, in-line forbindelser og etc. Ved interaktion med dem på brugerens hjemmeside de hacker operatører vil modtage indkomst.

Et alternativ er at medtage cryptocurrency minearbejdere der kan indsættes enten som enkeltstående programmer eller via scripts eksekveres i browseren. De vil udnytte de indbyggede hardware ressourcer med henblik på at udføre komplekse cryptocurrency opgaver. Når vellykkede operationer rapporteres til de relevante servere midlerne vil automatisk blive overført over til deres tegnebøger.

I andre tilfælde kan den side også bruges til at sprede malware stammer af alle populære typer:

• Ransomware - Disse er blandt de farligste virusinfektioner, som de vil scanne de lokale indhold og proces følsomme brugerdata med en stærk cipher forlader dem utilgængelige. Normalt er dette gøres ved hjælp af en indbygget liste over måldata. Når ransomware er færdig med at behandle de oplysninger brugerne vil stå tilbage med ubrugelige filer og en ransomware “note” som vil afpresse dem til at betale en “dekryptering gebyr” med henblik på at falsk genoprette de berørte filer.
• Trojans - Den trojanske hest infektion er en klassisk virusinfektion, der installerer en lokal klient på ofrets computer, der etablerer en sikker og vedvarende infektion med en hacker-kontrolleret server. Det gør det muligt for operatørerne at overtage kontrollen af ​​maskinerne, udspionere offeret brugere og kapre deres data.
• Browser Hijackers - De er ondsindede web browser plugins, der er annonceret som nyttige tilføjelser til de mest populære programmer. De er ofte uploades til de respektive extension butikker (repositories) og annonceret som nyttige tilføjelser. Så snart de er installeret ændringer til applikationer vil finde sted, mest især de standardindstillingerne (startside, søgemaskine og nye faner side). Dette gøres med henblik på at omdirigere besøgende til kontoret 365 phishing scam landing page, så snart de åbner deres browservinduer.
  

Kontor 365 Phishing-svindel - Almindelige scenarier

De fleste af kontoret 365 phishing-svindel er færdig ved at overbevise ofrene, som de har modtaget en legitim meddelelse fra en velkendt tjeneste, selskab, kolleger eller endda venner. Selvom hver kampagne har en særskilt strategi fleste af dem har lignende elementer.

De fleste af de phishing forsøg vil normalt optræde som meddelelser, der sendes af Microsoft. Dette gøres ved hjælp af signaturer, elementer og kroppen, der er kapret af legitime meddelelser sendt ind af virksomheden. De phishing e-mails vil tvinge modtagerne i at interagere med de vedhæftede nyttelast (normalt ondsindede dokumenter) og links.

Almindelige scenarier, der er blevet observeret i fortiden omfatter følgende:

• Kontor 365 Ud af Dato Meddelelse - Disse meddelelser vil sige, at kontoret 365 installation, at brugerne er logget ind er forældet. De opfordres til at opdatere den ved at klikke på et link. Signaturen der er udstationeret i meddelelsen læser “Microsoft 2018 Hold”. De optagne prøver af denne kampagne er alle rudimentær i design og indeholder typisk phishing elementer som skræmme taktik og advarsler, fed skrift eller alle hætter tekst. I dette særlige eksempel modtagerne får instruktioner, de har brug for at bekræfte deres indbakker inden 12 timer. Ellers deres e-mail-indbakker vil blive deaktiveret.
• Konto Ejerskab Bekræftelse - Det er typisk tilfælde af phishing, der kan er almindeligt sendt til ofrene på globalt plan. Hackerne bag denne kampagne forsøg på at forvirre ofrene til at tro, at de har brug for at bekræfte ejerskabet af deres postkasser. Meddelelserne indeholder elementer taget fra virkelige Microsoft meddelelser og opfordringen til handling (CTA) vil føre til en falsk login-side, hvor ofrene konto legitimationsoplysninger bedes.
• Løse problemer Phishing-svindel - Et andet sæt af relaterede menages, der bliver distribueret er advarslen fupnummer, der vil manipulere modtagerne til at tro, at de har uløste fejl, de har brug for at fastsætte. De ledes til at tro, at hvis de ikke løse problemerne så deres konti vil blive blokeret. Ligesom de tidligere tilfælde dårlig grammatik og alle hætter brev sammen med andre fælles elementer kan afsløre, at meddelelsen er et fupnummer, og bør ses bort fra.

Kontor 365 Phishing svindel #1 - Microsoft Excel-dokument

I dette eksempel offeret brugere vil blive vist en Microsoft Excel Online destinationsside. Normalt linket er placeret i phishing e-mails, falske websteder eller online communities, Herunder sociale netværk. Succesen med denne fidus høj grad afhænger af opsøgende.

Sådanne angreb kampagner i høj grad afhænge af hackede eller skræddersyede konti på alle populære mainstream sociale netværk som Facebook, Twitter og Instagram. Afhængig af hacking kollektive kan det også påvirke nichemålgrupper såsom Discord servere samt. Hvis ofrene ind i deres kontooplysninger, de vil automatisk blive overført til hacker operatører bag den fidus.

Den Specifikke Excel Online eksempel er blevet analyseret yderligere at høste følgende typer af information:

• Email adresse
• Adgangskode
• klient IP
• User Agent

Kontor 365 Phishing svindel #2 - LinkedIn Levering

Vi har opdaget en anden fidus taktik, der bliver ansat af en hacking kollektiv. Det gør brug af LinkedIn meddelelser som et medium for at sprede linket til landing page phishing. Der er to typer af konti, der anvendes i processen:

• hackede konti - De kriminelle bag kampagnen kan bruge kaprede konti, der er fremstillet ved dem eller købt fra de underjordiske hacker markeder.
• Brugerdefinerede konti - Hackerne kan oprette særlige konti for at spam kontakter med phishing link.

Uanset den anvendte mekanisme til at skabe regnskabet vil de sende ud forbindelsesanmodninger og sende beskeder, der indeholder linket. De ondsindede brugere kan også udfylde en falsk bio for at øge tilliden til regnskabet.

Ved at klikke på dem offeret brugere vil blive omdirigeret til den falske login-siden er beskrevet ovenfor.

Kontor 365 Phishing svindel #3 - Microsoft SharePoint Login Side

En ny e-mail-kampagne er blevet identificeret, der er relateret til de udbredte phishing-meddelelser. Brugerne kan modtage beskeder, der er forklædt som dokumentlinks. Når de er klikket ofrene vil blive vist en prompt bede dem om at komme ind i deres Microsoft-konto login detaljer eller en anden autencitetsmekanisme.

Den samme fremgangsmåde kan anvendes med falske hjemmesider der kan benytte lignende klingende domænenavne til kendte online-tjenester.

> Kontor 365 Phishing svindel #4 - Bot Genereret Log Sider

I begyndelsen af ​​december 2018 et andet sæt phishing-sider blev fundet. Rapporterne viser, at de er skabt ved hjælp bot kommandoer bruger en offentlig DNS-tjeneste for at skabe mange domænenavne. En af forklaringerne på denne adfærd skyldes en udbredt infektion af webservere eller computere. Hackerne kan web servering af indhold, som derefter forbundet via hacker-kontrollerede regnskaber dynamiske DNS-udbydere. Dette vil resultere i skabelsen af ​​sådanne steder. Selve siderne er simple login prompter, der er meget lig de ovennævnte eksempler.

Kontor 365 Phishing svindel #5 - Kontoret 365 Omdiriger Side

En anden variant af denne phishing side er via en omdirigering side. Den er designet som en Microsoft-opstaldet link, som vil vise en “Microsoft Docs” venstre sidelinje med en falsk login-landingsside i midten af ​​skærmen. Det er meget muligt, at hensigten med hackere bag denne særlige version er at præsentere en omdirigering side, der kan kaldes “Microsoft Docs” eller en anden lignende ækvivalent. Fra design af siden ofrene kan overtales til at tro, at siden er en del af en “Microsoft Docs” service og huse et dokument kun tilgængelige via kontoret 365 kontooplysninger. I dette særlige tilfælde en rig tekstdokument (Microsoft Word) bruges dog alle populære filformater kan anvendes: præsentationer, databaser og regneark samt.

Hvis du vil fjerne fidus fra din computer, Vi anbefaler kraftigt, at du følger fjernelse instruktioner bogført under denne artikel. De er blevet skabt med de vigtigste idé i tankerne til at hjælpe dig slette denne virus enten manuelt eller automatisk. Vær opmærksom på, at ifølge eksperter den bedste måde at forsøge at fjerne den software, der er årsag til kontoret 365 Phishing snydere pop-ups er at bruge et avanceret anti-malware-software. Et sådant program er skabt med den idé i tankerne til fuldt ud at scanne computeren og forsøge at fjerne ethvert spor af uønskede programmer og samtidig beskytte din computer mod fremtidige infektioner samt.