image

Microsoft: phishingcampagne via xls.html-bestand al jaar gaande

vrijdag 13 augustus 2021, 13:42 door Redactie, 6 reacties

Een phishingcampagne waarbij criminelen het bestand xls.html gebruiken voor het stelen van inloggegevens is al meer dan een jaar gaande, zo stelt Microsoft dat de aanvallen analyseerde. De phishingmails die de criminelen versturen doen zich voor als factuur en hebben een bestand met de naam xls.html als bijlage.

"Het gebruik van xls in de bestandsnaam van de bijlage is bedoeld om gebruikers een Excel-bestand te laten verwachten", laat Microsoft weten. Wanneer de ontvanger het bestand opent wordt er een browservenster getoond met een vals inlogscherm voor Microsoft Office 365, met daaronder een onherkenbaar Excel-document. Het inlogvenster kan informatie over het doelwit bevatten, waaronder e-mailadres en in sommige gevallen bedrijfslogo.

In eerste instantie maakten de aanvallers gebruik van plaintext html, maar inmiddels passen ze allerlei encoding toe om detectie van de phishingonderdelen te voorkomen, waaronder het gebruik van Morsecode. Ook stelen de aanvallers nu meer informatie naast gebruikersnamen en wachtwoorden, zoals ip-adressen en locatiegegevens. Volgens Microsoft kunnen deze gegevens bij latere aanvallen worden gebruikt.

Om phishing tegen te gaan adviseert Microsoft voor elk account een uniek wachtwoord en het gebruik van multifactorauthenticatie. Verder dienen organisaties hun personeel voor te lichten over phishingtactieken, aldus het techbedrijf.

Image

Reacties (6)
13-08-2021, 14:56 door Anoniem
hoe was het ook alweer in het verleden we gaan alles kopelen leuk joh....
13-08-2021, 15:43 door Anoniem
Hoe oud is dit bericht. IE11 opent de bijlage?
13-08-2021, 20:42 door Anoniem
Dubbele bestand extenties: hoe vaak gebruik je die legitiem? Nooit? Dan kun je ze dus ook standaard (laten) blokkeren!

Bepaalde onderdelen van besturingssystemen snap ik gewoon niet. Dit is er een, de ander is datastreams (iets.txt:randomwaarde -> dat is dan een ander bestand, maar op disk zie je niets!).
14-08-2021, 09:57 door Anoniem
Een factuur als .xls is natuurlijk al alarmbel nummer 1.
Als je daar niet over nadenkt dan zit je gewoon op kantoor te wachten op je pensioen ipv werken.
14-08-2021, 10:49 door Anoniem
Door Anoniem: Dubbele bestand extenties: hoe vaak gebruik je die legitiem? Nooit? Dan kun je ze dus ook standaard (laten) blokkeren!
Dat wisten deze aanvallers ook, daarom hebben ze het bestand niet invoice.xls.html genoemd maar gewoon xls.html
dus niks dubbele bestand extensies maar een bestand met de NAAM xls en de EXTENSIE html.

Overigens is er niets mis met dubbele bestand extensies, waar het fout gaat is de ellende dat Windows default 1 level
bestand extensie "verbergt". Daar is al heel wat ellende mee aangericht, maar ze zitten daar in Redmond zo hoog op
de ivoren toren dat er niks aan gedaan wordt.
15-08-2021, 09:22 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Dubbele bestand extenties: hoe vaak gebruik je die legitiem? Nooit? Dan kun je ze dus ook standaard (laten) blokkeren!
Dat wisten deze aanvallers ook, daarom hebben ze het bestand niet invoice.xls.html genoemd maar gewoon xls.html
dus niks dubbele bestand extensies maar een bestand met de NAAM xls en de EXTENSIE html.

Overigens is er niets mis met dubbele bestand extensies, waar het fout gaat is de ellende dat Windows default 1 level
bestand extensie "verbergt". Daar is al heel wat ellende mee aangericht, maar ze zitten daar in Redmond zo hoog op
de ivoren toren dat er niks aan gedaan wordt.

@anoniem, 14-08, 10:49 uur,

Daar zat ik op te wachten. Ik bedoel iemand (jij) die dat godvergeten standaard verbergen van bestandsextensies maar weer eens ter sprake brengt.
En nog steeds is het verouwehoerde verweer van niet nader te noemen theetantes aan het roer bij Microsoft dat zij dat doen om de gebruiker een "cleane Windows experience" te geven.

Hoewel ik geen actuele Windows meer gebruik (uitsluitend een off-line Win7 om specifieke reden) gaan mijn haren hier toch weer van overeind staan.

Nooit heb ik ook maar een grijntje logica gezien in dat idiote verbergen van 'de afzender'. In mijn ogen worden bestanden daardoor gedegradeerd tot anonieme post.

huh?.... 'de afzender'?.... hoor ik het auditorium zich afvragen. Wat bedoelt 'ie daar nou weer mee?
Ja...De afzender.
Ik vergelijk elk nieuw bestand dat je ziet, met een brief die je leest. Daarvan wil je de afzender weten. Meer is het niet. Groter hoeft het niet gemaakt te worden.

Nu ik er dus een obsolete Windows besturingssysteem bij betrek, dwalen mijn gedachten ook naar de grote concurrent van Microsoft's OS, te weten Mac Os. Is het daar ook nog steeds de gewoonte om de bestandsexensie te verbergen of is mijn bij Apple zo wijs om dat niet meer te doen?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.