Een grootschalige qishing-aanval heeft wereldwijd Office 365-accounts gestolen via Microsoft Sway. Ook Nederlanders zijn hierbij getroffen, naast slachtoffers in Noord-Amerika en Azië.
Microsoft Sway wordt gebruikt als tool voor het bouwen van online presentaties. Het wordt tevens veel gebruikt om nieuwsbrieven te versturen. Deze kunnen gericht zijn op specifieke medewerkers binnen een organisatie, maar ook gedeeld worden met eenieder die een link doorgestuurd krijgt.
Netskope Threat Labs ontdekte de aanvalscampagne in juli. Het aantal exploitaties van Microsoft Sway nam destijds tweeduizendmaal (!) toe. Doelwitten bevonden zich veelal binnen de IT-sector, de maakindustrie en finance.
Qishing
Daar waar Microsoft Sway als het aanvalsmedium gold, was een QR-code de uiteindelijke boosdoener. Als een nietsvermoedende gebruiker de QR-link volgde, belandde men op een malafide website. Deze websites bevonden zich op het domein sway.cloud.microsoft, waarop legitieme presentaties en nieuwsbrieven zich ook bevinden. Met een subdomein hiervan wisten de aanvallers leidinggevenden in allerlei bedrijven te misleiden.
Een aanval via een QR-code is listig om twee redenen. Allereerst is e-mailbeveiliging gericht op het scannen van tekst. Links binnen QR-codes zijn doorgaans niet gedetecteerd met conventionele tools. Een ander probleem is dat gebruikers regelmatig hun telefoon erbij pakken om de code te scannen. Zoals wel vaker bij phishing maakt die overstap van het ene naar het andere apparaat het onmogelijk om gebruikers te beschermen. Immers is de mobiele telefoon gewoonlijk niet voorzien van dezelfde security-tools als een kantoor-pc.
Lees ook: QR-codes in phishing is groeiend probleem
Gestolen credentials
De malafide websites pretendeerden legitieme login-pagina’s te zijn voor Microsoft. Toch waren het niet altijd de inloggegevens zelf die al te relevant waren om op deze manier af te snoepen. Het bemachtigen van tweestapsverificatie-codes waren veelal doorslaggevender, aangezien deze het mogelijk maakte om daadwerkelijk een account te infiltreren.
De aanvallers waren verder uitermate uitgekiend. Zo maakten ze gebruik van Cloudflare Turnstile, een tool om websites tegen bots te beschermen, waardoor de kwaadaardige pagina’s zich nog overtuigender voordeden als legitieme websites.
In totaal zijn er ten minste 156 leidinggevenden om de tuin geleid tijdens deze campagne. Executives, presidenten en managing directors in organisaties in Nederland, Duitsland, de VS, Canada, het Verenigd Koninkrijk, Hong Kong en Singapore waren de dupe.