Исследователи из ИБ-компании Avanan обнаружили кампанию, в которой использовался сервис Microsoft Dynamics 365 для кражи учетных данных жертв.
Продукт Microsoft Dynamics 365 Customer Voice позволяет организациям получать отзывы клиентов, он используется для проведения опросов об удовлетворенности клиентов, поясняет Securitylab.
Эксперты сообщили о сотнях таких атак за последние несколько недель. Электронные письма поступают из функции опроса в Dynamics 365, адрес отправителя содержит «Forms Pro», что является старым названием функции опроса.
Сообщение информирует получателя о получении новой голосовой почты. После нажатия кнопки «Воспроизвести голосовую почту» получатель перенаправляется на фишинговую страницу, имитирующую страницу входа в Microsoft. Используя ссылки Customer Voice, злоумышленники могут обходить меры безопасности.
По словам Avanan, системы безопасности не могут напрямую заблокировать Microsoft, поскольку будет невозможно выполнить какие-либо процессы. Вместо этого ссылки из надежных источников, как правило, автоматически становятся доверенными. Это дало возможность хакерам внедриться.