Hogyan csapják be a felhasználót?
A támadás alapja, hogy az áldozat egy Google-keresés során rossz helyre kattint: egy szponzorált reklámra, például az Office 365 kulcsszóra (ez egy tipikus elírás). Ekkor a kattintás először a hivatalos Microsoft Office oldalra viszi a felhasználót, majd onnan történik egy további átirányítás, például a bluegraintours.com weboldalra. Innen jut el végül a felhasználó egy adathalász oldalra, ahol a Microsoft-fiók adatai könnyedén a támadók kezébe kerülhetnek.
A csalás különösen azért veszélyes, mert első ránézésre minden teljesen szabályos Microsoft-oldalról indul, és nincs szükség adathalász e-mailre sem. Ez jelentősen megnehezíti az automata védelmi rendszerek dolgát is.
Az ADFS mint a támadás kulcsa
A hackerek egyedi Microsoft-bérlőt és a hozzá kapcsolódó ADFS-t állítanak be, amellyel elérik, hogy a bluegraintours.com domén azonosítási szolgáltatóként működhessen. Így a rendszer innen fogadja az engedélyezési kérelmeket, majd továbbengedi a felhasználót az adathalász oldalra. A bluegraintours oldalt a támadók valósnak tűnő blogbejegyzésekkel és információkkal töltik fel, hogy az automatizált vizsgálatok se találják gyanúsnak.
Emellett a támadók feltételekhez kötött oldalbetöltést alkalmaznak: csak azoknak jelenik meg az adathalász oldal, akiket valóban célba vettek, mindenki más visszairányításra kerül a hivatalos office.com oldalra.
Védekezési lehetőségek
A szakértők szerint minden vállalatnak érdemes monitorozni az ADFS átirányításokat, és figyelni a gyanús Google-hirdetéseken keresztül érkező office.com átirányítási paramétereket is, mert ezek árulkodóak lehetnek. Így megelőzhető, hogy a dolgozók tudtukon kívül veszélyes oldalakon adják meg belépési adataikat.
A támadás nem válogat iparág vagy munkakör szerint, sőt, úgy tűnik, a hackerek jelenleg új módszerekkel kísérleteznek, hogyan lehet a legkönnyebben kompromittálni a Microsoft-felhasználókat.
