Bij een grootschalige phishingcampagne bedoeld om inloggegevens te stelen maken criminelen gebruik van open redirects en captcha's om slachtoffers te misleiden, zo meldt Microsoft. De aanval begint met een phishingmail die zich onder andere voordoet als Zoom-uitnodiging, melding van Microsoft 365 of een bericht dat het wachtwoord is verlopen.

Gebruikers wordt vervolgens gevraagd om een link in het bericht te openen. Hierbij maken de aanvallers gebruik van een open redirect, waarbij er wordt gewezen naar een legitieme dienst. De gebruikte link bevat echter een parameter die naar de phishingsite wijst. Zodra een gebruiker de link opent zorgt de open redirect bij de legitieme dienst ervoor dat de gebruiker naar de phishingsite wordt gestuurd.

Het gebruik van open redirects bij phishingaanvallen is niet nieuw, zo laat Microsoft weten. Een link die naar een vertrouwd domein wijst kan eindgebruikers echter op het verkeerde been zetten. Wanneer gebruikers op de phishingpagina terechtkomen moeten ze eerst een captcha oplossen. Mogelijk hebben de aanvallers deze captcha toegevoegd om scanpogingen en analyses van de pagina te voorkomen, waardoor de phishingpagina langer online kan blijven.

Na het oplossen van de captcha wordt de gebruiker om zijn wachtwoord gevraagd, waarbij zijn e-mailadres al is ingevuld. Wanneer het slachtoffer zijn wachtwoord invult verschijnt er een foutmelding en moet het wachtwoord nog een keer worden ingevuld. Dit wordt waarschijnlijk gedaan om het slachtoffer twee keer het wachtwoord in te laten vullen, zodat de aanvallers weten dat ze het juiste wachtwoord hebben.

Voor het versturen van de phishingmails maken de aanvallers gebruik van gratis e-maildiensten, gecompromitteerde legitieme domeinen en zelf geregistreerde domeinnamen. Tijdens de campagne werden meer dan 350 unieke domeinen waargenomen. "Dit laat niet alleen de omvang van deze aanval zien, maar ook hoeveel de aanvallers erin investeren, wat een potentieel aanzienlijk rendement suggereert", aldus Microsoft.