@idontusenumbers Obrigado pelo comentário! Investigaremos esse problema e entraremos em contato com você em breve.

@idontusenumbers Aka.ms é um serviço de redução de URL interno da Microsoft e não está disponível publicamente, portanto, não há como ele ser identificado de perto como um URL de ataque de phishing. De acordo com sua declaração, parece que isso é apenas uma suposição de sua parte, mas garantimos que o URL é totalmente seguro e não está associado a nenhuma atividade de phishing.

Espero que isso esclareça suas dúvidas. Se você tiver alguma dúvida sobre isso, sinta-se à vontade para marcar a mim ou ao autor do documento @ eross-msft para sua resposta e ficaremos felizes em esclarecer o que for necessário. Vamos encerrar este problema agora.

Obrigado.

@ MohitDhingra-MSFT @ eross-msft Não há evidências que sugiram que o aka.ms seja interno ou controlado pela Microsoft sem pesquisa significativa. É como o chase bank dizendo "não há problema em inserir as credenciais de sua conta bancária no cha.se porque nós o controlamos". Não há como até mesmo um usuário com experiência em tecnologia verificar se é um domínio da Microsoft porque ele redireciona imediatamente para um domínio diferente, de forma que o certificado não pode ser verificado. Os usuários são ensinados, ano após ano, a sinalizar muito especificamente esse tipo de domínio como um domínio de phishing e relatá-lo ao departamento de TI. Na minha opinião (profissional), este é um enorme erro de segurança e não beneficia ninguém. https://microsoft.com/mfasetup seria uma opção 1000x melhor.

Na verdade, achei que estava sendo enganado com muita habilidade hoje, com uma fatura de aparência bastante plausível acompanhada por um e-mail que me convidava a "Ver seu (s) contrato (s) https://aka.ms/AA1wm3t ". Sim, certo, vou seguir um link para algum URL de aparência duvidosa no domínio Monserrat! Obrigado por postar aqui no github, claramente não um ataque de phishing ;-)

Concordo. Os serviços de encurtamento de links são MUITO suspeitos. Na verdade, o DoD bloqueia todos eles (exceto seu próprio HA) ... então, todos os links aka.ms falham para nós. Na verdade, isso está se tornando comum para as empresas. A razão é que TREINAMOS os usuários para verificar os URLs para ter certeza de que estão indo para onde pensam que estão. Com Link Shorteners você nunca pode ter certeza ... não importa o quão "oficial" seja o serviço de link shorteener.

Tenho um vírus que redireciona para ele https://www.hybrid-analysis.com/sample/d03c96928139226641bbd01466dcca67e004a8cb3913f505d2092bd14890a8be?environmentId=120

nem todos são seguros, verifique este: schemas.microsoft.com/SMI/2005/WindowsSettings "
estou vendo muitos servidores CDN akmai usando conteúdo legítimo como funcionalidade de bomba lógica em vírus muito avançados, usando chaves de tempo limite que um autor de vírus pode controlar para interromper campanhas puxando-os .. outro recurso estranho são vírus espionando usuários da Microsoft ativando o controle familiar , e usando contas da Microsoft para ver o que suas vítimas estão vendo, obtendo relatórios ... Sério, nem mesmo estou começando a confiar na Microsoft porque muitos desses vírus geram um tráfego pesado, e o Google e a Microsoft estão obtendo metadados interessantes deles. .

muitos dos vírus mais ativos que estou estudando no momento são todos certificados assinados, todos da lista de permissões da Microsoft, todos entrando em contato com os serviços de anúncios do Google ou páginas legítimas da microsoft / semi-legimtiate ... outra coisa estranha eu tenho outro vírus que usa / embedding seguido por string numérica como um argumento CLI e em outro desses sites aka.ms no url, há um contexto de urli perguntando Embeded? y / N aka

https://login.microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=45a330b1-b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=a5dfc125-1hred8&ponc=b1ec-4cc1-9161-9f03992aa49f&scope=openid&msafed=0&nonce=a5dfc125-1hdd7&poncorreia_fe_e_e_posturi_post7201&pond6199e_epond_e_posturi_fc_d007149epond7_fe_e_e_dirc125-1htt7 businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:%22L21hbmFnZS9vcmdhbml6YXRpb24vYWdyZWVtZW50cw==%22,%22isEmbedded%22:false%7D

Eu sugiro que os desenvolvedores do Azure leiam https://www.sans.org/security-awareness-training/blog/secure-options-url-shortening.

Mas ... não acho razoável esperar que alguém de fora da MS confie (ou mesmo conheça) seu controle do aka.ms. Então https://safecomputing.umich.edu/be-aware/phishing-and-suspicious-email/shortened-url-security é, acho, mais relevante aqui ...

@ MohitDhingra-MSFT @ eross-msft Podemos obter uma análise mais profunda do uso deste URL encurtado? Do ponto de vista do usuário, não há benefício no URL encurtado e custos enormes: incapacidade de concluir a tarefa porque a TI bloqueia encurtadores de URL ou porque é percebido como um ataque de phishing e, portanto, intencionalmente não clicado

Hmmm ... um bom próximo passo pode ser olhar para alguns casos específicos em que o aka.ms é usado e, em seguida, classificar como um caso de uso ou um caso de uso indevido. Essa é a maneira fora da minha faixa de responsabilidade - Eu sou apenas um usuário final.

Agora vou cancelar a assinatura deste tópico ... mas como um presente de despedida, tenho um caso a oferecer: um e-mail que recebi há um mês, com um link aka.ms. Uma versão em texto plano é anexada. Eu suprimi tudo que era obviamente PII sem hash e estou bem em correr o risco de privacidade de postar este caso em uma área da web visível ao público.

1. Não me incomodo em descobrir como o redirecionamento aka.ms obtém minhas PII, mas quando (finalmente!) Ousei visitá-lo há alguns minutos, meu navegador (Chrome) foi redirecionado para https: // login. microsoftonline.com/common/oauth2/authorize?response_type=id_token&client_id=AAAA&scope=openid&msafed=0&nonce=BBBB&response_mode=form_post&redirect_uri=https : //businessstore.microsoft.com/auth/&state=%7B%22encodedRedirectUri%22:% 22CCCC ==% 22,% 22isEmbedded% 22: false% 7D & sso_reload = true. Portanto, o redirecionamento de: aka.ms é aparentemente muito mais poderoso do que um redirecionamento de tinyurl. No entanto: acho improvável que o destino "AA1wm3t" deste aka.ms contenha uma versão hash de minhas PII porque tem apenas 8 caracteres e porque a janela pop-up "Escolha uma conta" nesta visita de microsoftoneline.com não é ajudando-me a navegar na parte do inferno da minha identidade pessoal que é administrada diretamente pela MS (ou seja, vejo quatro opções explícitas na lista "Escolha uma conta", mais a opção "Usar outra conta".

2. Suspeito que o link png seja um rastreador com uma referência em hash ao número da minha conta, então o anonimizei. É um png 115x27 que teria exibido um gráfico MS no meu cliente Outlook, se eu tivesse permitido apresentar este e-mail para mim em html. (A propósito, eu executo meu Outlook no modo somente texto simples, como uma das minhas linhas de defesa contra e-mails desagradáveis.)

Aqui está o caso anônimo. Ignore se quiser. Já gastei mais do que o suficiente do meu tempo com essa questão!

Felicidades,
Clark

-

De: Microsoft (não responda) [email protected]
Enviado: terça-feira, 3 de dezembro de 2019 às 18:12
Para: Destinatários não divulgados:
Assunto: Sua fatura da Microsoft

http://compass.microsoft.com/assets/eb/68/WWW.png

Seu extrato de faturamento da Microsoft está pronto

Organização: XXX

Domínio: YYY.com

Seu extrato de faturamento está pronto para revisão e está anexado a este e-mail.

Por padrão, enviamos faturas por e-mail, mas você pode alterar a forma como recebe as faturas https://portal.office.com/AdminPortal/Home?ref=BillingNotifications se desejar.

Obrigado,

Equipe do Microsoft Online Services

A Microsoft respeita sua privacidade. Revise nossa Declaração de Privacidade online https://privacy.microsoft.com/en-us/privacystatement .

Questões adicionais?

Visite o site de Suporte ao Cliente https://businessstore.microsoft.com/en-us/support .

Veja seu (s) contrato (s) https://aka.ms/AA1wm3t .

Corporação Microsoft
One Microsoft Way
Redmond, WA 98052 EUA
https://mucp.api.account.microsoft.com/m/v2/v?d=ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ

-

Eu de novo, com um segundo caso de uso do aka.ms.

Este caso apresenta um destino amigável do aka.ms: o link é exibido no meu visualizador de PDF (Acrobat Pro DC) como https://aka.ms/Office365Billing.

Eu ficaria muito surpreso se houvesse um canal secreto que permitisse que esse redirecionamento de aka.ms em particular extraísse minhas PII deste documento PDF em particular, mas certamente seria uma possibilidade que valeria a pena explorar se eu fosse um designer de malware ou por contrato como analista de segurança!

(Observações do caso: renderizei o anexo em PDF do meu caso nº 1 para png e recortei a PII exibida.)

Obrigado a todos por seus insights sobre os URLs. Agradecemos os dados fornecidos, pois ajudam a moldar nossas decisões no futuro.
Nós, como equipe de conteúdo, estamos deixando de usar os URLs curtos aka.ms e, em vez disso, estamos usando os URLs completos do site. Com isso dito, os grupos de produtos e outras equipes não estão necessariamente mudando seus estilos para refletir essa atualização. Além disso, não temos largura de banda para voltar e atualizar todos os links aka.ms e só podemos atualizar os links que vemos em artigos que estão sendo atualizados ou em novos artigos.
Para os fins do artigo MFA que está sendo referenciado, posso acessar e atualizar este link para um URL completo. Mas, à medida que você encontra links adicionais, pode prosseguir e atualizá-los por meio do GitHub e de uma conta do GitHub. Nós analisamos e lemos / aceitamos solicitações de pull de clientes internos e externos. Se precisar de instruções sobre como fazer isso, você pode encontrá-las aqui: https://docs.microsoft.com/en-us/contribute/.

feche por favor

5 meses depois, você ainda está usando este domínio para incentivar os proprietários do Windows 10 a vincular seus telefones a seus desktops, para que "nunca mais tenha que enviar fotos para mim mesmo por e-mail". Então essas fotos serão encaminhadas por meio de um servidor em Montserrat? Obrigado, mas acho que vou apenas baixá-los via USB.

É seguro agora ou o quê?

:)

Concordo.
Para consumidores, clientes individuais, o aka.ms é bom porque é fácil de lembrar e não há grandes preocupações com segurança.
Para clientes empresariais, alguns deles até usam um firewall da Internet no modo de lista de permissões, você realmente precisa dar a eles um bom motivo para aceitar este domínio.
Acho que a Microsoft deveria pelo menos fazer um anúncio oficial, declarando algo como
"aka.ms é um domínio de propriedade da Microsoft.",
"Este domínio é usado pela Microsoft para ... e os administradores de TI podem colocá-lo com segurança na lista de permissões do firewall de sua empresa ...",
"Você pode confiar no URL da Microsoft que começa com aka.ms",
algo parecido.

Concordo.
Para consumidores, clientes individuais, o aka.ms é bom porque é fácil de lembrar e não há grandes preocupações com segurança.

Existe uma grande preocupação com a segurança: parece um URL de phishing

Acho que a Microsoft deveria pelo menos fazer um anúncio oficial, declarando algo como
"aka.ms é um domínio de propriedade da Microsoft.",

Isso exige que todas as pessoas que receberem um desses links aka.ms tenham recebido, lido e lembrado de tal aviso. Isso é pedir muito.

Isso exige que todas as pessoas que receberem um desses links aka.ms tenham recebido, lido e lembrado de tal aviso. Isso é pedir muito.

Não acho que a Microsoft precise enviar esse anúncio a todos. Publicar tal aviso em seus sites o fará.

a mircosoft incluiria este domínio em seus documentos se não fosse oficial?

a mircosoft incluiria este domínio em seus documentos se não fosse oficial?

Um hacker que invadiu os documentos da Microsoft e os reescreveu usaria um domínio semelhante ao aka.ms? o hacker usaria microsoft.com?

embora eu ache que a maior parte deste tópico é uma preocupação excessiva com URLs de phishing, como um usuário final, se você acessar o url simples https://aka.ms , agora você será redirecionado para https://redirectiontool.trafficmanager.net/ am / redirection / home? options = host : aka.ms que redireciona para uma página de login da ferramenta MS Redirection. Embora não mostre isso em qualquer lugar da tela - tela de amostra .

Se um usuário final tentasse encontrar informações sobre o aka.ms - a primeira coisa que aparece nos resultados da minha pesquisa são muitas pessoas perguntando se está tudo bem.

Eu estava atualizando um site no qual tenho ajudado e esperava encontrar algo oficial da Microsoft explicando o que era Aka.ms para o qual eu pudesse criar um link e não consegui encontrar uma fonte de aparência oficial / confiável para referência.

Pior de tudo, se um não autorizado (hóspedes não autorizados pela Microsoft e não pela Microsoft) se logassem totalmente na página - eles obteriam este erro que seria confuso para a maioria

Se alguém tentou usar um link aka.ms indefinido, removido ou inválido - como https://aka.ms/DoesntExist , ele o levará para Microsoft.com, pelo menos, mas deve ficar muito mais claro que é propriedade da Microsoft .

Vejo que o próprio https://aka.ms redirecionar para a página de login da ferramenta de redirecionamento interno é fácil para todos vocês, mas seria confuso para a maioria dos usuários.

Adoraria que https://redirectiontool.trafficmanager.net/am/redirection/home ? options = host : aka.ms URL.

Dadas essas etapas adicionais, um usuário poderia

• compreensivelmente, suspeite dos links aka.ms (já que encurtadores de URL podem certamente ser usados ​​de forma mal-intencionada para ocultar um URL malicioso), mas pode aprender que aka.ms é um encurtador de URL confiável porque eles
• tem alguma confirmação do lado da Microsoft de que aka.ms é um domínio oficial da Microsoft,
• qualquer pessoa que acessou https://aka.ms por acidente não veria diretamente uma página de login (o que certamente é um sinal de alerta de segurança), mas uma explicação é um encurtador de URL interno da Microsoft