Microsoft ได้เผยถึงแคมเปญฟิชชิ่ง Office 365 ซึ่งผู้ประสงค์ร้ายได้ใช้วิธีที่มีความซับซ้อนและหลากหลายในการหลบเลี่ยงการป้องกัน,การวิเคราะห์และการตรวจจับอัตโนมัติ เช่น การใช้ sandbox
หนึ่งในกลยุทธ์การหลบเลี่ยงการตรวจจับที่ถูกใช้ในการโจมตีขโมย credential ขององค์กรที่เป็นเป้าหมายคือการรีไดเร็ค URL โดยกลยุทธ์การที่ผู้ประสงค์ร้ายใช้คือ เมื่อผู้ใช้ทำการคลิก URL อันตราย แล้วมีการป้องกันด้วยการนำ URL ดังกล่าวไปทดลองรันใน sandbox เมื่อผู้ประสงค์ร้ายตรวจพบการเชื่อมต่อกับ sandbox ผู้ประสงค์ร้ายจะทำการรีไดเร็คการเชื่อมต่อของ sandbox ไปที่ปลายทางที่ถูกต้องและไม่เป็นอันตราย ในขณะที่ถ้าตรวจพบว่าเป็นผู้คลิกเป็นบุคคลจริงๆ ถึงจะรีไดเร็คการเชื่อมต่อของเหยื่อไปยังหน้า Landing Page ที่เป็นหน้าเพจฟิชชิ่ง ด้วยวิธีการนี้จะทำให้การตรวจจับและการวิเคราะห์โดยอัตโนมัติใด ๆ ถูกมองว่าผู้ใช้ได้ทำการคลิกไปยังเว็บไซต์ที่ถูกต้อง ซึ่งจะช่วยลดโอกาสในการถูกบล็อกการโจมตีได้อย่างมากและเพิ่มโอกาสที่ผู้ที่ตกเป็นเหยื่อจริงๆ จะถูกล่อลวงมายังไซต์ฟิชชิ่งของผู้ประสงค์ร้าย
ในส่วนของกลยุทธ์นี้ยังมีการสร้าง subdomains ที่เฉพาะเจาะจงกับเหยื่อเพื่อใช้กับเว็บไซต์ที่จะทำการรีไดเร็ค URL เพื่อเป็นวิธีการทำให้ URL ฟิชชิ่งน่าเชื่อถือมากขึ้นในสายตาของเป้าหมายและจะช่วยเพิ่มอัตราความสำเร็จของการโจมตี โดย URL ของฟิชชิงมักมีชื่อของเหยื่อและองค์กรของเหยื่อ โดยส่วนมากจะมีจุดพิเศษคือด้านหลัง โดเมนระดับบนสุด (TLD) จะตามด้วย Email address ที่ถูก endcode เป็น Base64 ของผู้รับ
รูปแบบหัวอีเมลที่แสดงเช่น "Password Update", "Exchange protection", "Helpdesk-#", "SharePoint" และ "Projects_communications" ยังสามารถถูกใช้เป็นตัวล่อในด้าน social engineering เพื่อเพิ่มความน่าสนใจที่เป้าหมายจะทำการคลิกลิงก์ฟิชชิง URL ที่ฝังอยู่ในอีเมลแต่ละฉบับ
ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล
ที่มา: bleepingcomputer.com