A Microsoft megtévesztő taktikát alkalmaz az adathalászok ellen. Valósnak tűnő Honeypot tenantokat hoz létre, amik hozzáféréssel rendelkeznek az Azure-hoz. Ezzel odacsalogatja a kiberbűnözőket, majd pedig információkat gyűjt róluk. Az összegyűjtött adatokkal a Microsoft feltérképezheti a hackerek infrastruktúráját, mélyebben megértheti a kifinomult adathalász műveleteket, megzavarhatja az adathalász kampányokat, azonosíthatja a kiberbűnözőket, illetve jelentősen lelassíthatja tevékenységüket.
A módszert és az adathalász tevékenységekre gyakorolt hatását a BSides Exeter konferencián ismertették. Létrehoztak egy „hibrid jellegű nagy interakcióval rendelkező honeypotot” a már nem használt code.microsoft.com webhelyen, annak érdekében, hogy információkat gyűjtsön a Microsoft infrastruktúráját célzó támadókról.
Átvert kiberbűnözők
A Microsoft az adathalászat felismeréséhez teljes Microsoft tenant környezeteket szimulál, több ezer felhasználói fiókkal, egyedi domainekkel, valamint olyan tevékenységekkel is, mint a belső kommunikáció és a fájlmegosztás. A Microsoft egyenesen a támadók elé viszi a „mézesbödönt” ahelyett, hogy arra várna, hogy azok rátaláljanak, mint az a legtöbb honeypot rendszernél a gyakorlatban történik.
A Microsoft azt állítja, hogy naponta nagyjából 25 000 adathalász oldalt figyel meg, amelynek körülbelül 20%-a származik honeypotainak adataiból; a CAPTCHA vagy más bot-szűrő mechanizmusok blokkolják.
A támadók az esetek körülbelül 5%-ában lépnek be a csapda tenantokba, és átlagosan 30 napig tart, mire rájönnek, hogy a célpontjuk egy hamis környezet. Az ez idő alatt összegyűjtött információkat, támadói módszereket és taktikákat más biztonsági csoportok felhasználhatják összetettebb támadói profilalkotás és jobb védelemi intézkedések létrehozására.