Säkerhetsforskare vid Check Point har hittat tusentals lösenord som ligger helt synliga via Googles sökmotor.
Uppgifterna som läckt ska ha publicerats på mängder av olika kapade webbsajter för maximal spridning, och kommer från en stor nätfiskekampanj mot bygg- och energisektorn.
Lästips: 70 miljoner användaruppgifter har läckt från Nitro PDF
Enligt säkerhetsforskarna har nätkriminella skapat verklighetstrogna mejl som efterliknar aviseringar från Xerox/Xeros. I mejlen står mottagarens namn och titel på företaget, och mejlen skickades via en linux-server på Microsoft Azure.
Samtidigt som de snyggt förfalskade mejlen skickades ut så gjorde de nätkriminella ett litet genidrag som ökade klickfrekvensen – de skickade nämligen även dåligt gjorda spam-meddelanden som gjorde att det riktiga nätfiskemejlet såg mer legitimt ut.
Attackers usually prefer to use compromised servers instead of their own infrastructure because of the existing websites’ well-known reputations. The more widely recognized a reputation is, the chances are higher that the email will not be blocked by security vendors.
Den som klickade på nätfiskemejlet körde en html-fil med javascriptkod.
Javascriptkoden kollar mottagarens lösenordsanvänding genom att ta sig runt Microsoft Office 365 Advanced Threat Protection. Och tusentals personer har drabbats av den skadliga koden.
Lästips: Testa dig själv – kan du identifiera nätfiske?
Säkerhetsforskarna på Check Point har kontaktat Google och informerat dem om indexeringen av lösenorden.
I skrivande stund är det oklart vilka hackergruppen eller de individuella personerna som läckte lösenorden är. Det finns inte heller en klarlagd bild över syftet med nätfiskeattacken.