Tin tặc đã sử dụng các email giả mạo theo chủ đề tòa án để đánh cắp thông tin Microsoft Office 365 của người dùng. Để thuyết phục hơn, tin tặc đã thêm xác minh CAPTCHA vào email và gửi email đến những người cụ thể để loại bỏ các bộ lọc thư rác.
Phát triển một loại lừa đảo lừa đảo mới, tin tặc đã xâm nhập vào một ứng dụng dùng để bảo mật các trang web. MÃ NGẪU NHIÊN được sử dụng để đánh cắp thông tin đăng nhập của người dùng. Trong một cuộc tấn công lừa đảo, những kẻ tấn công tự xưng là người có thẩm quyền để dụ nạn nhân của chúng. ‘lệnh của tòa án’ email theo chủ đề.
Mặc dù các phương pháp lừa đảo như vậy không được sử dụng rộng rãi nhưng vẫn có một số ví dụ trong quá khứ. Vào thời điểm này, vào tháng 11 năm ngoái, những kẻ ác ý, Bộ Tư pháp Vương quốc Anh Anh ta đã nhắm mục tiêu thông tin xác thực của người dùng bằng tên của mình. Tương tự như vậy chỉ vài ngày trước áo giáp Ông cũng giải thích cách thức các email giả mạo được cho là đến từ các tòa án ở Anh đã được gửi đi như thế nào.
Những kẻ tấn công đã sử dụng xác thực CAPTCHA để thuyết phục hơn:
Nó cho phép kẻ tấn công tránh các bộ lọc bảo mật thông thường và dịch vụ bảo mật email do Microsoft cung cấp. Để trao đổi bảo vệ trực tuyến (EOP) Người ta nói rằng chỉ gửi email cho những người cụ thể chứ không gửi hàng loạt để đảm bảo họ không gặp khó khăn. Dành cho những ai chưa biết, EOP là công cụ của Microsoft để loại bỏ nội dung độc hại khỏi email và lọc thư rác. dịch vụ bảo mật email được biết như.
Những tin tặc đặt mục tiêu và gửi e-mail sẽ cố gắng làm cho thông điệp trở nên đáng tin cậy hơn. MÃ NGẪU NHIÊN đã sử dụng. Theo một bài đăng trên blog của Armorblox, việc đưa CAPTCHA vào sẽ khiến công nghệ bảo mật trở nên khó khăn hơn.
Các nhà nghiên cứu bảo mật cho biết trong quá trình xác minh CAPTCHA do hacker tạo ra này, một trang dựa trên tòa án sẽ không bao giờ ngữ pháp Những sai lầm của bạn và đó là những trang của tên miền nói rằng có vẻ như nó không thuộc về một tổ chức hợp pháp. Nhưng nhiều người lại không để ý nhiều đến những chi tiết nhỏ như vậy.
Trong phương thức lừa đảo được sử dụng, người dùng đã vượt qua quá trình xác minh CAPTCHA cuối cùng sẽ yêu cầu thông tin xác thực của họ. Microsoft Office 365 trang được trình bày. Trên thực tế, trang không chính thức này mang tên miền của kẻ tấn công, chuyển thông tin cho những kẻ độc hại khi người dùng bất cẩn nhập thông tin đăng nhập của họ trên trang.
Nguồn: https://www.hackread.com/fake-supreme-court-subpoena-phishing-scam-office-365-credentials/
