Hakkerit ovat alkaneet hyödyntää tietojenkalasteluun etätyöntekijöiden suosimaa virtuaalista erillisverkkoa eli vpn:ää, jonka avulla etätyöasemat liitetään yrityksen verkkoon.

Techradar kirjoittaa, että Office 365 -käyttäjät ovat vastaanottaneet valheellisia vpn-päivitysviestejä, joiden kautta käyttäjien on toivottu luovuttavan kirjautumistietonsa.

Hakkereiden taiteilemat vpn-päivitysviestit ja O365-aloitussivu on tehty erityisen taitavasti. Päivitysviesti antaa ymmärtää, että viestin lähettäjänä on uhrin organisaation it-tukiosasto, sillä lähettäjän sähköpostiosoite on asetettu vastaamaan organisaation verkkotunnusta.

Lähettäjän nimi voi olla esimerkiksi muotoa Remote Access Vpn @ *käyttäjän organisaation verkkotunnus*.

Vpn-huijausviestejä on liikkeellä erilaisia.

Sähköposteissa oleva huijauslinkki johdattaa uhrin tarkasti Microsoftin O365-aloitussivua jäljittelevälle sivustolle. Huijaussivustoa ylläpidetään Microsoftin omistamalla verkkotunnuksella. Tämä on onnistunut väärinkäyttämällä Azure Blob Storage -alustaa, jonka kautta hakkerit ovat saaneet sivulleen lukko-ikonilla varustetun Microsoftin varmenteen. Salausprotokollana toimii julkinen ssl-salausprotokolla web.core.windows.net.

Sähköpostien tietoturvayritys Abnormal Security tiesi kertoa keskiviikkona, että arviolta 15 000 käyttäjää on vastaanottanut kyseisen tietojenkalasteluviestin.

Käyttäjien tulisi huolehtia, että kirjautumistunnukset syötetään vain virallisille Microsoftin ylläpitämille sivustoille, joiden verkkotunnus on muotoa microsoft.com, live.com tai outlook.com.