นักวิจัยจากบริษัท Edgewave ซึ่งเป็นรักษาความปลอดภัยของอีเมลได้นำข้อมูลมาแจ้งแก่ทาง BleepingComputer.com ว่าได้พบ 2 การโจมตีแบบ Phishing Email บน Outlook และ Microsoft ซึ่งหน้าเว็บที่แฮกเกอร์สร้างขึ้นมานั้นเป็นหน้าที่มีใบรับรอง SSL Certificate ที่ถูกต้อง แถมชื่อโดเมนยังเป็น windows.net อีกด้วย
การโจมตีนี้ได้ใช้ช่องโหว่ Azure Blob Storage ของ Microsoft ทำให้แฮกเกอร์สามารถขโมยข้อมูลบัญชีผู้ใช้ Outlook และ Microsoft ได้
สำหรับวิธีการโจมตีนั้น นักวิจัยได้แยกการโจมตีออกเป็น 2 แบบ และทั้งสองแบบต่างก็ใช้ Azure Blob Storage เหมือนกันทั้งคู่
การโจมตีแรก จะส่งอีเมลให้ผู้ใช้ทำการอัปเดตข้อมูล Office 365 โดยจะให้ใส่บัญชีและรหัสผ่าน ซึ่งจะมีหัวข้ออีเมเลแจ้งว่า บัญชีอีเมลของคุณไม่เป็นปัจจุบัน ทำการอัปเดตด่วน! ดังภาพ
ที่มาภาพ Bleeping Computer
เมื่อคลิกลิงค์ที่ให้มา จะเข้าสู่หน้าเพื่อใช้ขโมยข้อมูลบัญชี และรหัสผ่าน ดังภาพ
ที่มาภาพ Bleeping Computer
การโจมตีแบบที่ 2 จะเป็นการโจมตีเพื่อขโมยข้อมูล Microsoft ของผู้ใช้ โดยจะเป็นอีเมลหน้าบริการ Workplace ของ Facebook เพื่อเชื่อมต่อไปยังหน้าของ Microsoft ดังภาพ
ที่มาภาพ Bleeping Computer
เมื่อผู้ใช้คลิกลิงค์ที่อยู่ในเมล ระบบจะแสดงหน้า login ของ Microsoft ซึ่งแฮกเกอร์สร้างขึ้นรูปร่างหน้าตาจะเหมือนกับหน้า Login ของ Microsoft เป๊ะๆ ดังภาพ
ที่มาภาพ Bleeping Computer
สาเหตุที่แฮกเกอร์ทำการโจมตีแบบนี้ก็เพราะว่า Azure Blob Storage นั้นใช้ URL: windows.net ซึ่งถือว่าเป็นโดเมนที่ถูกต้องของ Microsoft ซึ่งถ้ามีคนใช้ URL อย่าง https://1drive6e1lj8tcmteh5m.z6.web.core.windows.net/ ระบบก็จะถือว่าโดเมนนี้ถูกต้อง และยิ่งไปกว่านั้น Azure Blob Storage นั้นใช้ SSL Certificate แบบ Wildcard ของ Microsoft ส่งผลให้ทุกๆ โดเมนที่อยู่ในนั้น ได้ถูกรับรองว่าถูกต้อง ทำให้เกิดความน่าเชื่อถือเพิ่มมากขึ้นปลอดภัย ดังภาพ:
ที่มาภาพ Bleeping Computer
ดังนั้น เพื่อเป็นการป้องกันการโจมตีนี้ แนะนำให้ผู้ใช้ควรตรวจสอบ URL ของหน้าเพจให้ดีๆ แต่หากใช้ผ่าน Azure Blog Storage ที่อยู่ภายใต้โดเมน Windows.net อาจทำให้ไม่สามารถตรวจสอบได้ ดังนั้นหากต้องการ login เข้าสู่ระบบบของ Microsoft กับ Outlook ให้login เข้าหน้าที่เพจ Outlook.com หรือจาก microsoft.com, live.com, หรือ outlook.com จะปลอดภัยกว่า
ที่มา Bleeping Computer