به گزارش گرداب، نوعی حمله فیشینگ شناسایی شده است که از Office ۳۶۵ بهره می‌برد و با استفاده از ترفند جالبی گواهی معتبر SSL مایکروسافت را نمایش می‌دهد. در این حمله، فرم ورود صفحه فیشینگ روی منبع ذخیره ساز Azure Blob Storage میزبانی می‌شود.

منبع ذخیره اطلاعات Azure Blob، یک منبع ذخیره مربوط به مایکروسافت است که برای ذخیره داده‌های بدون ساختار مانند تصاویر، ویدئوها یا متن مورد استفاده قرار می‌گیرد. یکی از مزیت‌های Azure Blob این است که دسترسی به آن از طریق هم HTTP و هم HTTPS انجام پذیر است و هنگام اتصال با HTTPS، گواهی معتبر SSL مایکروسافت نمایش داده می‌شود.

از این طریق، ساختن صفحات فیشینگی که سرویس‌های مایکروسافت مانند Office ۳۶۵، Azure ID و غیره را هدف قرار می‌دهد بسیار دقیق‌تر خواهد بود و کاربر در صفحات فیشینگ گواهی خود مایکروسافت را مشاهده می‌کند. در یکی از حملات، در ایمیل‌های اسپم یک فایل PDF قرار داده شده است که در آن لینکی برای یک فایل PDF دیگر وجود دارد.

کاربر با کلیک بر روی لینک، به آدرس

hxxps://onedriveunbound۸۰۳۴۳.blob.core.windows[dot]net منتقل می‌شود که همانطور که از آدرس آن مشخص است، روی blob میزبانی شده است. محتویات این لینک یک صفحه فیشینگ Office ۳۶۵ است که دارای گواهی رسمی مایکروسافت است.

پس از پر کردن فرم، اطلاعات به سروری ارسال می‌شود که توسط مهاجمین کنترل می‌شود:

پس از ارسال اطلاعات به سرور هکرها، سایت فیشینگ به یکی از صفحات مایکروسافت منتقل می‌شود (https://products.office.com/en-us/sharepoint/collaboration).

برای حفاظت کاربران از مراجعه به چنین صفحاتی، توصیه شده است تا کاربران نسبت به تشخیص آدرس‌های غیر استاندارد آموزش داده شوند