Microsoft heeft samen met Cloudflare phishing-as-a-service platform RaccoonO365 verstoord. De dienst biedt tegen betaling phishingkits aan waarmee criminelen phishingaanvallen kunnen uitvoeren tegen gebruikers van Microsoft 365, om zo gebruikersnamen en wachtwoorden van hun accounts te stelen. Microsoft stapte naar een Amerikaanse rechtbank, waarbij het onder andere vorderde om controle te krijgen over 338 domeinnamen van RaccoonO365 (pdf). De rechtbank keurde deze vordering goed.

Via RaccoonO365 kunnen criminelen e-mails, bijlagen en websites genereren die van Microsoft afkomstig lijken. Alles wat slachtoffers op de phishingsite invoeren wordt meteen naar een echte Microsoft-inlogpagina doorgestuurd. Wanneer de echte inlogpagina om meer informatie vraagt krijgt het slachtoffer dit verzoek ook te zien. Deze informatie wordt vervolgens ook voor het inloggen op het account gebruikt. Op deze manier kunnen de aanvallers toegang tot accounts krijgen waarvoor multifactorauthenticatie is ingeschakeld.

Volgens Microsoft zijn sinds 2024 via de dienst inloggegevens van zeker vijfduizend Microsoft 365-accounts gestolen, van gebruikers in 94 landen. Verder stelt het techbedrijf dat phishingmails van RaccoonO365 vaak een voorbode zijn van malware en ransomware. Naast het beslag leggen op 338 domeinen van RaccoonO365 zegt Microsoft ook de vermeende beheerder van de dienst te hebben geïdentificeerd. Informatie over hem is inmiddels met opsporingsdiensten gedeeld.

De verdachte zou samen met handlangers op Telegram de phishingdienst aanbieden. Daarbij claimt Microsoft dat de man zeker 100.000 dollar aan cryptovaluta heeft ontvangen, wat naar schatting op honderd tot tweehonderd abonnementen zou neerkomen. Het werkelijke aantal verkochte abonnementen ligt volgens het techbedrijf veel hoger. In samenwerking met Cloudflare zijn de betreffende domeinnamen offline gehaald en krijgen bezoekers nu een waarschuwing te zien, zo laat het internetbedrijf tegenover The Register weten.