Ransomwared reposted this
De gebruiker ontvangt een email van een bekende relatie met daarin de vernieuwde contracten ter review en ondertekening. Het begeleidend schrijven vermeld dat het slecht gaat met het bedrijf en ze zich genoodzaakt zien om de contracten aan te passen. Open je de link? Als je op de link klikt, dan opent deze een tabblad in de browser en laat een pagina zien als bijgevoegd screenshot. Url ziet er goed uit. Slotje is netjes dicht. lichtwazig zie je wat documenten staan en omdat de documenten alleen voor de ontvanger bedoeld zijn moet er met de Microsoft identiteit ingelogd worden. Het ziet er gewoon heel prima uit. maar de echte oplettende ziet dat het lettertype niet klopt, en dat links Shared Libaries staat. Was het je opgevallen? Waarschijnlijk niet he. Gewoon eerlijk zijn. Maar wat nog meer opvalt is de signin popup die geen popup is. Het is een Browser in the Browser oftewel BITB aanval waarbij de hacker een mfa approved token probeert te krijgen. Deze komt uit Bulgarije en nadat de gebruiker deze activeert heeft de aanvaller een signin token waarmee hij ettelijke dagen vooruit kan. PS: Hier word Cloudflare-ipfs misbruikt en ze zijn ook op de hoogte van deze.