Microsoft Phishing観察記録_202012

前回作成した環境をもとに、http://data.phishtank.com/data/online-valid.csv からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。

画面例をいくつか記録しておきます。

画像1

画像2

画像3

画像4

いずれのサイトもいくつか気になる点はありました。
・動作がもっさりしている
・若干のUIの違いがみられる
ただしこれらを判断基準とすることは危険であるため、URLを直接打ち込んだり、ブックマークやパスワード管理アプリケーション(特にブラウザ拡張があるもの)を使用してURLを"機械的に"検証していただくのがよいかと思います。

実際に観察用に取得したドメインのユーザー名と、パスワードを適当に打ち込みました。
いくつか怪しいサインイン施行がありましたので記録しておきます。

画像5

画像6

画像7

画像8

画像9

画像10

画像11

画像12

画像13

画像14

MacOsからのアクセスもあったことからUAを誤魔化しているかmacOSのbot化された端末からアクセスされたのかなと想像もできたりします。

ちなみにMicrosoft社のIPを使用したAAD ReportingのGraph APIを使用するアクセスもありました。(サポート問い合わせも行った結果)正規のアクセスなのか否か確認できませんでしたが、通常利用でその後再発しないことから不正アクセスの試行とも読み取れるので記録しておきます。

画像15

画像16

これは最近取得できるようになった非対話型サインインログの取得で確認できました。

画像18


いいなと思ったら応援しよう!