微软安全研究人员发现了一个不寻常的网络钓鱼活动,该活动使用自定义404错误页面来诱骗潜在的受害者分发他们的Microsoft凭据
为此,攻击者注册域名而不是创建单个网络钓鱼登录页面以将受害者重定向到,他们配置自定义404页面以显示虚假登录表单。
这允许网络钓鱼者拥有在单个注册域的帮助下生成的无限量的网络钓鱼登陆页面URL。
微软的研究团队表示,“404 Not Found页面告诉你,你已经遇到了破损或死链接 - 除非它没有。”
“网络钓鱼者使用恶意自定义404页面来提供网络钓鱼站点。针对微软的网络钓鱼活动使用这种技术,为网络钓鱼者提供几乎无限制的网络钓鱼URL。”
这些攻击者用来收集受害者凭据的自定义404错误页面完全被伪装成合法的Microsoft帐户登录页面,直到最小的细节。
网络钓鱼页面上的所有链接,包括底部的链接和用于访问某个Microsoft帐户的链接以及创建新帐户,都直接指向官方Microsoft登录表单,以使目标不那么可疑。
网络钓鱼页面中缺少的唯一元素是“下一步”按钮上方的“登录选项”链接以及页面顶部的cookie通知。
“由于格式错误的404页面被提供给攻击者控制的域中任何不存在的URL,网络钓鱼者可以使用随机URL进行广告活动,”微软补充说。“我们还发现攻击者将域随机化,指数级增加了网络钓鱼URL的数量。”
网络钓鱼表单旨在收集发送至hotelseacliff [.] com的 Microsoft电子邮件地址,电话号码或Skype名称。
然后,在成功获取凭据后,受害者将被重定向到使用缩短的URL屏蔽的真实Microsoft登录表单。
虽然微软已经将此广告系列中使用的网址添加到了Microsoft Defender SmartScreen的报告的网络钓鱼,恶意软件,漏洞利用和诈骗网站列表中,但谷歌尚未接收它们并将其添加到其安全浏览黑名单服务中。
虽然可以使用多种不同的方法和服务创建自定义404错误页面,但微软安全研究团队发现的网络钓鱼活动的运营商使用免费的outlookloffice365user09ngxsmd [.] web [.] app Firebase子域。
Firebase文档网站上的支持文章显示了自定义404 /未找到页面所需的所有步骤,从而可以在用户尝试访问不能访问的页面时“提供自定义404 Not Found错误”存在。”
设置完所有内容后,“如果浏览器在您的域或子域上触发404 Not Found错误,Firebase托管将显示此自定义404.html页面的内容。”
如前所述,攻击者还可以使用其他技术通过自定义404 Not Found页面创建网络钓鱼登陆页面,从自托管页面到Amazon CloudFront,Microsoft Azure,Squarespace,Weebly等等。
这意味着这些服务中的每一项都可能在类似的网络钓鱼活动中被滥用,微软自己的Azure存储是主要目标,它可以用于 静态网站托管,并且还提供对自定义404页面的支持。
网络钓鱼者已经在使用微软的Azure Blob存储对象存储解决方案[ 1, 2 ]托管网络钓鱼网页,在同一时间服用的事实,他们将自动获得来自微软的SSL证书签名优势。
这使基于Azure Blob存储的网络钓鱼成为直接针对Microsoft服务用户(如Office 365,Azure Active Directory,Outlook和大量其他Microsoft登录)的理想方法。