Nhóm nghiên cứu tại Cyderes, dẫn đầu bởi Ethan Fite, đã phát hiện một chiến dịch phishing tinh vi, kết hợp URL YouTube và thông báo giả về việc mật khẩu Microsoft 365 sắp hết hạn để lừa người dùng tiết lộ thông tin đăng nhập.
Chiến thuật tinh vi này tận dụng các URL trông hợp pháp nhằm qua mặt sự kiểm tra và gia tăng độ tin cậy. Nội dung email cảnh báo rằng mật khẩu Microsoft 365 (O365) của người nhận sắp hết hạn, yêu cầu họ nhấn vào nút có nội dung: “Keep [USER EMAIL] Access Active.”
Chiến dịch này tận dụng URL YouTube giả, thêm ký tự mã hóa như %20 hoặc @ để che giấu tên miền độc hại. Ví dụ: URL youtube.com%20%20%20%20@maliciousdomain.net sẽ dẫn đến maliciousdomain.net. Điều này đánh lừa người dùng tin rằng liên kết an toàn.
Chiến thuật này tận dụng sự tin tưởng vốn có của người dùng đối với các tên miền quen thuộc như YouTube, đồng thời tinh vi dẫn họ đến các trang phishing.
Các nhà nghiên cứu đã chỉ ra một số đặc điểm phổ biến của những liên kết phishing này, bao gồm:
- Sử dụng quá mức ký tự %20 để che giấu tên miền đích.
- Chèn ký tự @ để đánh lừa người dùng và chuyển hướng họ đến các tên miền độc hại.
- Ứng dụng các công cụ redirect và template phishing từ bộ công cụ Tycoon 2FA, Mamba 2FA, và EvilProxy.
Chiến dịch nguy hiểm này khai thác thương hiệu quen thuộc như YouTube để tăng hiệu quả và khiến nạn nhân mất cảnh giác. Vì vậy người dùng cần cảnh giác trước các đường link được gửi đến để đảm bảo an toàn cho dữ liệu cá nhân.
