Microsoft alerta del peligro de phishing en cuentas de Microsoft mediante URL 404

Landing page MIcrosoft Phishing

Los investigadores de seguridad de Microsoft han descubierto una campaña de phishing bastante fuera de lo normal, ya que emplea páginas de tipo 404 personalizadas. Su objetivo es engañar a las posibles víctimas y conseguir que compartan sus credenciales de Microsoft.

Para conseguirlo han estado registrando dominios y, en lugar de crear diferentes páginas «landing» o de aterrizaje con intentos de phishing, se han configurado redirecciones 404 para mostrar el formulario de inicio de sesión suplantado.

Landing pages basadas en 404 para robar credenciales de Microsoft

Esto permite a los ciberdelincuentes contar con una cantidad infinita de páginas de phishing generadas en torno a un único dominio. Así lo indica Microsoft:

El código 404 – No encontrado nos indica que hemos llegado a un enlace roto o muerto, lo que ocurre es que no es realmente así.

Los responsables de la campaña han copiado a la perfección los detalles que el usuario espera encontrar en estas páginas de formulario de inicio de sesión. Tan solo faltan elementos como Opciones de Inicio de sesión en la parte superior de la página.

Debido a que una página 404 mal formada se sirve a cualquier URL no existente en un dominio controlado por atacante, los delincuentes pueden utilizar URLs aleatorizadas para sus campañas.

También se ha encontrado que los atacantes aleatorizan dominios, aumentando potencialmente el número de URLs dedicadas a ingeniería social y phishing.

Landing pages basadas en 404 para robar credenciales de Microsoft

Los atacantes han estado usando el subdominio gratuito de Firebase:

outlookloffice365user09ngxsmd[.]web[.]app

En su documentación se detalla cómo es posible personalizar una página 404/Not Found, haciendo posible servir un error 404 cuando un usuario intenta acceder a una página que no existe.

En adelante:

En hosting de Firebase mostrará el contenido de esta página personalizada 404.html a cualquier navegador que desencadene un error 404 Not Found en su dominio o subdominio.

Por supuesto que los atacantes podrían igualmente utilizar métodos como Cloudfront, Azure, Amazon o Weebly -entre otros- para conseguir similares resultados. Es decir, que podrían abusarse para hacer campañas como la que os detalallamos hoy.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.