Phishers utilizan falsas alertas de Office 365 para engañar a los administradores
- Endpoint
Los mensajes instan a hacer clic en un enlace para poder iniciar sesión en el Centro de Administración de Office 365 y revisar los detalles de pago de su organización. En realidad, el enlace dirige a los destinatarios a una página de phishing diseñada para robar sus credenciales.
Los phishers están lanzando campañas que aprovechan falsas alertas de Office 365 para comprometer las cuentas del administrador. En una campaña descubierta por Bleeping Computer, los estafadores enviaron alertas falsas a los administradores informándoles de que las licencias de Office 365 de su organización habían expirado. Los mensajes indicaban a los destinatarios que debían hacer clic en un enlace para poder iniciar sesión en el Centro de Administración de Office 365 y revisar los detalles de pago de su organización. En realidad, el enlace dirigía a los destinatarios a una página de phishing diseñada para robar sus credenciales de administrador.
El investigador de seguridad Michael Gillespie descubrió un ataque similar. En esta campaña, los estafadores se hicieron pasar por representantes de Office 365 para informar a los destinatarios de que alguien había obtenido acceso a sus cuentas de administrador. El correo electrónico incitó a los destinatarios a hacer clic en el botón "Investigar" que, a su vez, los redirigía a un dominio falso de windows.net alojado en Azure. Esta táctica agregó mayor legitimidad al ataque, ya que las páginas de phishing alojadas en Azure están protegidas con un certificado de Microsoft.
Esta no es la primera vez que los cibercriminales se dirigen a Office 365. En mayo de 2019, los mismos investigadores detectaron una campaña de phishing que supuestamente provenía del equipo de Office 365 advirtiendo a los destinatarios que su cuenta de correo electrónico estaba programada para ser cancelada en un esfuerzo por robar sus credenciales. Dados estos ataques, no es de extrañar que, según datos de Cyren, el 40% por ciento de las organizaciones aseguraron que los atacantes habían logrado comprometer las credenciales de inicio de sesión de Office 365 de su empresa el año pasado.