CERT-IS vill vekja athygli á fágaðri vefveiðaherferð sem beinir spjótum sínum að Microsoft 365 aðgangi notenda. CERT-IS mælir með að vera á varðbergi og tilkynna til okkar ef ummerki sjást um slíka árás.
Herferðin
Vefveiðapóstarnir í þessari herferð hafa oftar en ekki verið að að koma frá þekktum tengiliðum sem búnir eru að missa aðganginn sinn í hendur svikarana. Hlekkurinn í tölvupóstinum vísar á svikasíðu (evc[.]microsoft.com/) sem birtir eftirhermu af Sharepoint skjali með beiðni um að opna skjalið „View completed document“. Sú síða vísar á Microsoft 365 innskráningarsíðu sem er á bakvið Cloudflare. Svikasíðan biður einnig um fjölþáttaauðkenningu ef hún er virk.
Ef árásaraðilar komast inn, skoða þeir alla tölvupósta og senda í kjölfar vefveiðapóst á alla tengiliði sem fórnarlambið er með. Einnig bæta þeir við nýrri innskráningarleið og færa tölvupóstanna í nýja möppu til að eyða þeim og fela öll ummerki um atvikið.
Spillivísar (e. IOC)
- ecv.microsoft[.]com
- ncv.microsoft[.]com
- customervoice.microsoft[.]com
- puzzle.plackspato[.]com