Исследователь безопасности из SANS ICS Ксавье Мертенс (Xavier Mertens) обнаружил новую фишинговую кампанию, входе которой злоумышленники рассылают поддельные уведомления якобы от Office 365 о невозможности доставить сообщение.

Жертвы получают уведомление следующего характера: «Microsoft обнаружила несколько неотправленных писем». В уведомлении также есть ссылка «Отправить еще раз» якобы для повторной отправки «неотправленных» писем. После нажатия на ссылку жертва оказывается на поддельной странице авторизации Office 365.

Когда пользователь вводит в форму для авторизации свой пароль, функция JavaScript под названием sendmails() отправляет введенные учетные данные скрипту sendx.php и перенаправляет жертву на настоящую страницу авторизации Office 365.

URL-адрес фишинговой страницы отличается от настоящего и должен вызывать опасения, но большинство пользователей, увидев знакомый экран, не обращают внимания на адресную строку.

Источник: securitylab.ru