@idontusenumbers ¡ Gracias por el comentario! Investigaremos este problema y nos comunicaremos contigo pronto.

@idontusenumbers Aka.ms es un servicio de acortamiento de URL interno de Microsoft y no está disponible públicamente, por lo que no hay forma de que pueda identificarse ni siquiera de cerca como una URL de ataque de phishing. Según su declaración, parece que esto es solo una suposición de su parte, pero le aseguramos que la URL es completamente segura y no está asociada en absoluto a ninguna actividad de phishing.

Espero que esto aclare tus dudas. Si tiene más consultas sobre esto, no dude en etiquetarme a mí o al autor del documento @ eross-msft a su respuesta y estaremos encantados de aclarar cualquier cosa según sea necesario. Cerraremos este tema ahora.

Gracias.

@ MohitDhingra-MSFT @ eross-msft No hay evidencia que sugiera que aka.ms sea interno o controlado por Microsoft sin una investigación significativa. Eso es como chase bank diciendo "está bien ingresar las credenciales de su cuenta bancaria en chase porque lo controlamos". Ni siquiera un usuario experto en tecnología puede verificar que se trata de un dominio de Microsoft porque redirige inmediatamente a un dominio diferente para que el certificado no se pueda verificar. A los usuarios se les enseña año tras año a marcar muy específicamente este tipo de dominio como un dominio de phishing y a informarlo a su departamento de TI. En mi opinión (profesional), este es un enorme error de seguridad y no beneficia a nadie. https://microsoft.com/mfasetup sería una opción 1000 veces mejor.

De hecho, pensé que hoy me estaban engañando de manera muy inteligente, con una factura de apariencia muy plausible acompañada de un correo electrónico que me invitaba a "Ver su (s) Acuerdo (s) https://aka.ms/AA1wm3t ". ¡Sí, claro, como si fuera a seguir un enlace a una URL poco fiable en el dominio de Monserrat! Gracias por publicar los bona-fides aquí en github, claramente no es un ataque de phishing ;-)

Estoy de acuerdo. Los servicios de acortamiento de enlaces son MUY sospechosos. De hecho, el DoD los bloquea todos (excepto su propio HA) ... así que todos los enlaces aka.ms simplemente fallan para nosotros. En realidad, esto se está convirtiendo en algo común para las empresas. La razón es que ENTRENAMOS a los usuarios para que miren las URL para asegurarse de que van a donde creen que van. Con los acortadores de enlaces nunca puede estar seguro ... no importa cuán "oficial" sea el servicio de acortadores de enlaces.

Tengo un virus que lo redirecciona https://www.hybrid-analysis.com/sample/d03c96928139226641bbd01466dcca67e004a8cb3913f505d2092bd14890a8be?environmentId=120

no todos son seguros, marque este: schemas.microsoft.com/SMI/2005/WindowsSettings "
Veo muchos servidores CDN akmai que usan contenido legítimo como funcionalidad de bomba lógica en virus muy avanzados, usando claves de tiempo de espera que el autor de un virus puede controlar para detener campañas tirando de ellas. Otra característica extraña son los virus que espían a los usuarios de microsoft activando el control familiar , y el uso de cuentas de microsoft para ver qué están mirando sus víctimas obteniendo informes ... en serio, ni siquiera estoy empezando a confiar en microsoft porque muchos de estos virus están generando un tráfico tan pesado, y google y microsoft están obteniendo metadatos interesantes de ellos. .

muchos de los virus más activos que estoy estudiando en este momento están todos firmados por certificado, todos en la lista blanca de microsoft, todos contactando con los servicios de anuncios de Google o legitimar las páginas de microsoft / semi-legimtiate ... otra cosa extraña tengo otro virus que usa / incrustado seguido cadena numérica como un argumento CLI y en otro de estos sitios web aka.ms en la url hay un contexto urli preguntando ¿Embeded? y / N aka

https ://login. businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:%22L21hbmFnZS9vcmdhbml6YXRpb24vYWdyZWVtZW50cw==%22,%22isEmbedded%22:false%7D

Sugeriría a los desarrolladores de Azure que lean https://www.sans.org/security-awareness-training/blog/secure-options-url-shortening.

Pero ... no creo que sea razonable esperar que alguien fuera de MS confíe (o incluso sepa) su control de aka.ms. Entonces https://safecomputing.umich.edu/be-aware/phishing-and-suspicious-email/shortened-url-security creo que es lo más relevante aquí ...

@ MohitDhingra-MSFT @ eross-msft ¿Podemos obtener un análisis más profundo del uso de esta URL abreviada? Desde el punto de vista del usuario, la URL acortada y los costos enormes no tienen ningún beneficio: incapacidad para completar la tarea porque TI bloquea los acortadores de URL o porque se percibe como un ataque de phishing y, por lo tanto, no se hace clic intencionalmente.

Hmmm ... un buen siguiente paso podría ser mirar algunos casos específicos en los que se usa aka.ms, luego clasificarlos como un caso de uso o un caso de mal uso. Eso es fuera de mi ámbito de responsabilidad - Yo sólo soy un usuario final.

Ahora me daré de baja de este hilo ... pero como regalo de despedida tengo un caso que ofrecer: un correo electrónico que recibí hace un mes, con un enlace aka.ms. Se adjunta una versión de texto plano. He suprimido todo lo que sea PII obviamente sin hash, y estoy de acuerdo con correr el riesgo de privacidad de publicar este caso en un área web visible para el público.

1. No puedo molestarme en averiguar cómo la redirección de aka.ms obtiene mi PII, pero cuando (¡finalmente!) Me atreví a visitarla hace unos minutos, mi navegador (Chrome) fue redirigido a https: // login. microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=AAAA&scope=openid&msafed=0&nonce=BBBB&response_mode=form_post&redirect_uri=https : //businessstore.microsoft.com/Cocoh/Birete=22 %% 22,% 22isEmbedded% 22: falso% 7D & sso_reload = verdadero. Entonces: la redirección de aka.ms es aparentemente mucho más poderosa que una redirección de tinyurl. Sin embargo: creo que es poco probable que el objetivo "AA1wm3t" de este aka.ms contenga una versión hash de mi PII porque solo tiene 8 caracteres y porque la ventana emergente "Elija una cuenta" en esta visita de microsoftoneline.com no es ayudándome a navegar por la parte de mi infierno de identidad personal que es administrada directamente por MS (es decir, veo cuatro opciones explícitas en la lista "Elija una cuenta", más la opción "Usar otra cuenta".

2. Sospecho que el enlace png es un rastreador con una referencia hash a mi número de cuenta, así que lo he anonimizado. Es un png de 115x27 que habría mostrado un gráfico de MS en mi cliente de Outlook, si alguna vez le hubiera permitido que me presentara este correo electrónico en html. (Por cierto, ejecuto Outlook en modo de solo texto sin formato, como una de mis líneas de defensa contra los correos electrónicos desagradables).

Aquí está el caso anónimo. Ignora si quieres. ¡Ya he desperdiciado más que suficiente de mi tiempo en este tema!

Salud,
Clark

-

De: Microsoft (no responda) [email protected]
Enviado: martes 3 de diciembre de 2019 6:12 p.m.
Destinatario no revelado:
Asunto: Su estado de cuenta de Microsoft

http://compass.microsoft.com/assets/eb/68/WWW.png

Su estado de cuenta de Microsoft está listo

Organización: XXX

Dominio: YYY.com

Su estado de cuenta está listo para su revisión y se adjunta a este correo electrónico.

Enviamos facturas por correo electrónico de forma predeterminada, pero puede cambiar la forma en que recibe las facturas https://portal.office.com/AdminPortal/Home?ref=BillingNotifications si lo desea.

Gracias,

El equipo de servicios en línea de Microsoft

Microsoft respeta su privacidad. Revise nuestra Declaración de privacidad en línea https://privacy.microsoft.com/en-us/privacystatement .

¿Preguntas adicionales?

Visite el sitio de Atención al cliente https://businessstore.microsoft.com/en-us/support .

Vea su (s) Acuerdo (s) https://aka.ms/AA1wm3t .

Corporación Microsoft
One Microsoft Way
Redmond, WA 98052 EE. UU.
https://mucp.api.account.microsoft.com/m/v2/v?d=ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

-

Yo de nuevo, con un segundo caso de uso de aka.ms.

Este caso presenta un objetivo amigable de aka.ms: el enlace se muestra en mi visor de PDF (Acrobat Pro DC) como https://aka.ms/Office365Billing.

Me sorprendería mucho si hubiera un canal encubierto que permitiera que esta redirección de aka.ms en particular extrajera mi PII de este documento pdf en particular, pero ciertamente sería una posibilidad que valdría la pena explorar si fuera un diseñador de malware o por contrato. como analista de seguridad!

(Notas del caso: rendericé el archivo PDF adjunto de mi caso n. ° 1 en png, luego corté la PII mostrada)

Gracias a todos por sus conocimientos sobre las URL. Agradecemos los datos proporcionados, ya que ayudan a dar forma a nuestras decisiones en el futuro.
Nosotros, como equipo de contenido, en realidad estamos dejando de usar las URL cortas de aka.ms y, en su lugar, usamos las URL completas del sitio. Dicho esto, los grupos de productos y otros equipos no necesariamente están cambiando sus estilos para reflejar esta actualización. Además, no tenemos el ancho de banda para volver atrás y actualizar todos los enlaces de aka.ms y solo podemos actualizar los enlaces que vemos en artículos que se están actualizando o en artículos nuevos.
Para los propósitos del artículo de MFA al que se hace referencia, puedo ingresar y actualizar este enlace a una URL completa. Pero a medida que encuentre enlaces adicionales, puede continuar y actualizarlos usted mismo a través de GitHub y una cuenta de GitHub. Revisamos y leemos / aceptamos solicitudes de extracción de clientes internos y externos. Si necesita instrucciones sobre cómo hacer esto, puede encontrarlas aquí: https://docs.microsoft.com/en-us/contribute/.

por favor cierra

Cinco meses después, todavía estás usando este dominio para alentar a los propietarios de Windows 10 a vincular su teléfono con su escritorio, para que "nunca más tenga que enviarme fotos por correo electrónico". ¿Entonces esas fotos serán enrutadas a través de un servidor en Montserrat? Gracias, pero supongo que los descargaré a través de USB.

¿Es seguro ahora o qué?

:)

Estoy de acuerdo.
Para los consumidores, los clientes individuales, aka.ms es bueno porque es fácil de recordar y no hay grandes problemas de seguridad.
Para los clientes comerciales, algunos de ellos incluso usan un firewall de Internet en modo de lista de permitidos, realmente debe darles una buena razón para aceptar este dominio.
Creo que Microsoft debería al menos hacer un anuncio oficialmente, declarando algo como
"aka.ms es un dominio propiedad de Microsoft.",
"Este dominio es utilizado por Microsoft para ..... y los administradores de TI pueden ponerlo de forma segura en la lista de permitidos del firewall de su empresa ...",
"Puede confiar en la URL de Microsoft que comienza con aka.ms",
algo como eso.

Estoy de acuerdo.
Para los consumidores, los clientes individuales, aka.ms es bueno porque es fácil de recordar y no hay grandes problemas de seguridad.

Existe un gran problema de seguridad: parece una URL de phishing

Creo que Microsoft debería al menos hacer un anuncio oficialmente, declarando algo como
"aka.ms es un dominio propiedad de Microsoft.",

Esto requiere que toda persona que reciba uno de estos enlaces de aka.ms haya recibido, leído y recordado dicho aviso. Eso es mucho pedir.

Esto requiere que toda persona que reciba uno de estos enlaces de aka.ms haya recibido, leído y recordado dicho aviso. Eso es mucho pedir.

No creo que Microsoft necesite enviar ese anuncio a todos. Publicar dicho aviso en sus sitios web será suficiente.

¿Mircosoft incluiría este dominio en sus documentos si no fuera oficial?

¿Mircosoft incluiría este dominio en sus documentos si no fuera oficial?

¿Un pirata informático que irrumpió en los documentos de microsoft y los reescribió usaría un dominio similar a aka.ms? ¿Usaría el hacker microsoft.com?

Si bien creo que la mayor parte de este hilo es una preocupación excesiva por las URL de phishing, como usuario final, si va a la URL desnuda https://aka.ms , ahora se le redirige a https://redirectiontool.trafficmanager.net/ am / redirection / home? options = host : aka.ms que redirige a una página de inicio de sesión para la herramienta de redirección de MS. Aunque no lo muestra en ninguna parte de la pantalla: pantalla de muestra .

Si un usuario final intentara encontrar información sobre aka.ms, lo primero que aparece en mis resultados de búsqueda son muchas instancias de personas que preguntan si está bien.

Estaba actualizando un sitio web en el que he estado ayudando, y esperaba encontrar algo oficial de Microsoft que explicara a qué Aka.ms podía vincularme, y no pude encontrar una fuente de apariencia confiable / oficial para referencia.

Lo peor de todo es que si un inquilino invitado no autorizado (que no es de Microsoft ni de un inquilino autorizado de Microsoft) inicia sesión por completo en la página, obtiene este error que sería confuso para la mayoría

Si alguien intentó usar un enlace aka.ms no definido, eliminado o no válido, como https://aka.ms/DoesntExist , lo llevará al menos a Microsoft.com, pero debería ser mucho más claro que es propiedad de Microsoft. .

Veo que https://aka.ms redirigir por sí solo a la página de inicio de sesión de la herramienta de redirección interna es fácil para todos, pero sería confuso para la mayoría de los usuarios.

Me encantaría que hubiera alguna forma en que https://aka.ms tuviera una página con una explicación de que este es un servicio de Microsoft, un enlace a alguna página de Microsoft.com/aka-ms-url-shortener o similar, y una explicación de que solo Microsoft o los contratistas autorizados pueden acceder a él para crear estos enlaces, y muy probablemente un botón "Iniciar sesión" en la parte superior derecha para que todos vayan a https://redirectiontool.trafficmanager.net/am/redirection/home ? options = host : aka.ms URL.

Dados esos pasos adicionales, un usuario podría

• comprensiblemente, sospeche de los enlaces de aka.ms (ya que los acortadores de URL ciertamente podrían usarse de manera maliciosa para ocultar una URL maliciosa), pero podría descubrir que aka.ms es un acortador de URL confiable porque
• tener alguna confirmación del lado de Microsoft de que aka.ms es un dominio oficial de Microsoft,
• cualquier persona que ingrese a https://aka.ms por accidente no se le presentará directamente una página de inicio de sesión (que sin duda es una bandera roja de seguridad), pero una explicación es un acortador de URL interno de Microsoft