Pengguna pertama kali diarahkan ke ujian CAPTCHA, taktik yang bertujuan untuk meminjamkan keaslian. Berikutan itu, mangsa dihantar ke tapak phishing yang direka untuk meniru halaman log masuk Microsoft, di mana penyerang cuba mencuri kelayakan. Serangan yang berjaya memberikan penjenayah siber yang tidak dibenarkan akses kepada maklumat dan sistem yang sensitif, yang berpotensi membawa kepada akaun dalaman yang dimanipulasi, kecurian dana, dan gangguan operasi. > Mengeksploitasi Perkhidmatan Microsoft yang dipercayai
Kaedah ini terletak pada eksploitasi kepercayaannya. Ia bergantung kepada kebiasaan penerima dengan komunikasi perniagaan biasa yang melibatkan perkhidmatan berjenama Microsoft, menjadikan e-mel penipuan sukar dibezakan dari surat-menyurat yang sah. Penyerang memanfaatkan pautan yang sah dari pemberitahuan Microsoft sebagai sebahagian daripada rantaian serangan.
Teknik ini, yang memanfaatkan tapak yang sah untuk mendapatkan pengimbas keselamatan yang lalu, dirujuk sebagai’Lebuhraya Statik’oleh penyelidik Point Check. Serangan sedemikian sangat sukar untuk perkhidmatan keselamatan untuk mengesan dan lebih sukar bagi pengguna untuk mengenal pasti.
Pautan phishing sering tidak muncul sehingga langkah terakhir. Check Point berkata”Pengguna pertama kali diarahkan ke halaman yang sah-jadi melayang di atas URL di badan e-mel tidak akan memberi perlindungan.”Pautan phishing sering mengalihkan pengguna melalui beberapa halaman pertengahan sebelum mereka mendarat di halaman phishing akhir. Borang Dinamik 365 menggunakan sijil SSL yang sah, seperti yang berasal dari https://forms.office.com atau https://yourcompanyname.dynamics.com, yang dapat membantu menghindari alat pengesanan phishing yang memeriksa capbility Pengesahan multi-faktor. Ini sering dicapai melalui penggunaan toolkit phishing-as-a-service (PHAAS) yang canggih. Serangan (AITM) untuk memintas kelayakan pengguna dan kuki sesi, yang bermaksud bahawa walaupun pengguna dengan MFA didayakan masih boleh terdedah. Microsoft menjejaki pemaju dan pengedar kit phishing dadsec/phoenix, yang berkaitan dengan rockstar 2fa,
Pautan tidak dapat dikesan (FUD), dan integrasi bot telegram. Kempen e-mel menggunakan vektor akses awal Rockstar 2FA yang pelbagai seperti URL, kod QR, dan lampiran dokumen. Templat menarik yang digunakan dengan Rockstar 2FA Range dari pemberitahuan perkongsian fail ke permintaan untuk e-signatures. Penyerang menggunakan redirektor pautan yang sah sebagai mekanisme untuk memintas pengesanan antispam. Sekali di dalam akaun yang dikompromi, Cybercriminals bertindak dengan cepat. Mereka boleh melancarkan Microsoft telah mengambil tindakan, menyekat beberapa halaman phishing yang digunakan dalam kempen. Walau bagaimanapun, beberapa e-mel yang berniat jahat mungkin masih mencapai peti masuk sebelum halaman-halaman ini diturunkan. Microsoft menggagalkan percubaan penipuan $ 4 bilion, menolak 49,000 pendaftaran perkongsian penipuan, dan menyekat kira-kira 1.6 juta cubaan pendaftaran bot setiap jam antara April 2024 dan April 2025, menurut Microsoft noted that “AI has started to lower the technical bar for fraud and Pelakon jenayah siber mencari alat produktiviti mereka sendiri, menjadikannya lebih mudah dan lebih murah untuk menghasilkan kandungan yang boleh dipercayai untuk cyberattacks pada kadar yang semakin pesat.”Alat AI boleh mengimbas dan mengikis web untuk maklumat syarikat, membantu cyberattackers membina profil terperinci pekerja atau sasaran lain untuk mewujudkan gewang kejuruteraan sosial yang sangat meyakinkan. Teknik ini memanipulasi rangka kerja OAuth Google untuk menghantar e-mel yang ditandatangani secara autentik, melangkaui cek DMARC. Ia menggariskan trend yang lebih luas di mana penyerang menyalahgunakan platform dan protokol yang dipercayai untuk memberi kesahihan kepada penipuan mereka. Untuk mengukuhkan pertahanan terhadap serangan pancingan data berasaskan identiti, pakar keselamatan siber mencadangkan pendekatan berbilang lapisan. Bagi organisasi yang masih menggunakan ADFS, peralihan ke Microsoft Entra ID dinasihatkan, kerana ia menawarkan lebih banyak kaedah pengesahan yang tahan phishing. Latihan kesedaran juga merupakan langkah penting. Pekerja harus dididik untuk mengenal pasti percubaan phishing dan mengesahkan permintaan log masuk yang luar biasa dengan jabatan IT mereka. Langkah ke arah rangka kerja keselamatan sifar-amanah, yang memerlukan pengesahan berterusan, juga dilihat sebagai standard masa depan. Konteks dan pengurangan yang lebih luas