Een phishingcampagne waarbij cybercriminelen het bestand xls.html gebruiken om inloggegevens te bemachtigen duurt nu al ruim een jaar. Dat concludeert Microsoft op basis van een analyse van deze aanvallen.
De phishingmails die de oplichters verzenden, zien eruit als een factuur. De bestandsnaam heeft de naam xls.html.
Microsoft Office 365
“Het gebruik van xls in de bestandsnaam van de bijlage is bedoeld om gebruikers een Excel-bestand te laten verwachten”, licht Microsoft toe. Nadat de ontvanger het bestand heeft opengemaakt, zie hij een browservenster met een vals inlogscherm voor Microsoft Office 365, met daaronder een onherkenbaar Excel-document. Het inlogvenster kan informatie over het slachtoffer bevatten zoals het e-mailadres en het bedrijfslogo.
IP-adressen en locatiegegevens
In het begin van de phishingcampagne gebruikten de aanvallers plaintext html. Momenteel zetten ze allerlei vormen van encoding in om detectie van de phishingonderdelen te voorkomen, zoals het gebruik van Morsecode. Tevens ontvreemden de criminelen nu ook IP-adressen en locatiegegevens. Deze gegevens kunnen ze bij latere aanvallen inzetten, aldus Microsoft.
Klik hier voor het bericht van Microsoft over de phishingcampagne.