Aanvallers maken op een slimme manier gebruik van Microsoft Sway voor het uitvoeren van phishingaanvallen. Sway is een presentatieprogramma dat onderdeel van Microsoft Office is. Het biedt gebruikers met een Microsoft-account de mogelijkheid om tekst en media te combineren en zo een website te maken. Sway-sites worden op de servers van Microsoft opgeslagen en zijn te bekijken en wijzigen via een browser of web-app.

Sway biedt ook de mogelijkheid om een nieuwsbrief te maken die bij Microsoft wordt gehost en aan een url is gekoppeld. Deze nieuwsbrief-url kan vervolgens met anderen worden gedeeld. Een nieuwsbrief kan bijvoorbeeld alleen uit een afbeelding en een link bestaan en is via het Office.com-domein toegankelijk. Doordat de opgenomen link embedded in de nieuwsbrief is en geen onderdeel van de broncode van de pagina uitmaakt, is die lastig voor veel scanners om te scannen.

Daar komt bij dat veel scanners office.com als een betrouwbaar domein beschouwen en ook veel mensen links naar dit domein zullen vertrouwen. Securitybedrijf Forcepoint waarschuwt dat het de afgelopen twee maanden zo'n 1100 phishingmails heeft gezien die van Sway-nieuwsbrieven gebruikmaakten om slachtoffers naar phishingsites te lokken. De op Office.com gehoste nieuwsbrief bevatte een link die naar de uiteindelijke phishingpagina wees.

Hoewel het om een kleinschalige campagne gaat verdient het gebruik van Sway wel de aandacht, stelt onderzoeker Adrian OGara. "Het gebruik van een Office-domein om kwaadaardige links te verspreiden is een uitdaging voor verdedigers vanwege de vertrouwensrelatie die veel bedrijven met Office 365 hebben", zo laat hij weten. Hieronder een voorbeeld van een malafide nieuwsbrief die alleen uit een link en afbeelding bestaat.