Nep Office 365 support

Recent was er een reactie op een van de blogposts. De inhoud van de boodschap was zoals te verwachten viel geen reactie op het artikel. Het was spam, waarbij een nep Office 365 domeinnaam werd gebruikt. Dat riekt naar een malware verspreider of andere vorm van cybercrime.

Rusland = blacklisted

Reacties uit Rusland komen amper voor op de blog. Reden daarvoor is dat alle bekende IP blokken uit dat land blacklisted zijn. Lezen en posten is daarmee onmogelijk. Dat scheelt me een hoop ergernis. Russische providers en hosters hebben echter nog steeds de mogelijkheid nieuwe IPv4 blokken te activeren of op welke wijze dan ook te verkrijgen. Zo kan het gebeuren dat bagger uit Rusland naar dit blog wordt gestuurd.

Voorspelbaar

De spam melding die werd gepoogd als commentaar te plaatsen is verstuurd en onderschept.

De header van die posting is redelijk voorspelbaar. Er is een (lekke) Russische breedbandverbinding misbruikt. Het from adres is een voorbeeld van een automatisch aangemaakt adres dat geen enkele overeenkomst heeft met een normaal e-mail adres. De boodschap bestaat uit bijelkaar geraapte termen die de aandacht moeten vestigen op een spamvertized url.

De url office-365-*support.com verwijst naar GoDaddy, de bekende grote Amerikaanse hoster die vaak door criminelen wordt gebruikt.  De vraag is echter of in dit geval ook sprake is van criminelen.


De domeinnaam is namelijk niet gelinkt aan direct opvallende records. Er is bijvoorbeeld geen link naar IP blokken of aanbieders in schurkenstaten. Een search levert op dat de domeinnaam staat voor een bedrijf dat daadwerkelijk helpt met het migreren naar de office 365 omgeving.

Legitiem

Hebben we hier dan te maken met een spamvertized url van een legitiem bedrijf dat daar geen weet van heeft? Het is een optie, maar een die weinig waarschijnlijk is. In dat soort gevallen zou in de header of elders in de spam wel een bedoelde link te vinden zijn.

Een verklaring die meer hout snijdt is de volgende. Er zijn tientallen bedrijfjes die claimen migratie support te regelen. Daar zitten witte schapen tussen, maar ook zwarte. Die laatste groep heeft namelijk als businesscase de klant te laten bellen en op onder het mom van migratie hulp worden dan de inloggegevens verkregen. Een andere optie (kan in combinatie!) die bestaat is dat de migratie aanbieders gebruik maken van betaalnummers.

Vooralsnog ga ik er dus van uit dat in dit geval sprake is van fake Office 365 support. De spamvertized url is geen foutje, maar opzet.

 

Share: