Újabb adathalász kampány: célpontban a távmunkából visszatérők

(A kép forrása: Cofense)

Számos országban elkezdték visszavonni a pandémia terjedését visszaszorító intézkedéseket, így sok cég több hónapos távmunkát követően visszatér az irodai munkavégzéshez, amelyet a támadók is igyekeznek kihasználni. A Cofense Phishing Defence Center (PDC) kutatói egy céges bejelentkezési adatok megszerzésére irányuló adathalász kampányt fedeztek fel, amely során a támadók látszólag a cégvezetők nevében küldenek ki tájékoztató e-maileket a COVID-19 miatt bevezetett változtatásokról és óvintézkedésekről. Az e-mail első ránézésre úgy tűnik, mintha egy legitim, a vállalaton belülről származó üzenet lenne ─ például szerepel rajta a cég logója és a szervezet vezetőjének aláírása ─, azonban a benne található hivatkozás valójában egy hamis Microsoft SharePoint oldalra mutat. Az áldozatok itt két dokumentumot találnak az „új üzleti műveletekkel” kapcsolatban, amelyekre kattintva egy adathalász bejelentkezési panel ugrik fel a képernyőn. Szakértők szerint nem ez a tipikus adathalász módszer, azonban feltételezhetően ezzel nagyobb a valószínűsége, hogy a felhasználók megbízhatónak találják, hogy bejelentkezési adatokat kell megadniuk, mintha egyből egy külső oldalra irányítanák át őket. A PDC egy másik, trükkös módszerre is felhívja a figyelmet, amelynek során a felhasználók először egy „A felhasználónév vagy jelszó helytelen hibaüzenettel találják szembe magukat, és majd csak azután kerülnek átirányításra, hogy egymás után többször is megadták a bejelentkezési adataikat. Ezzel a technikával a támadók azt az érzetet keltik az áldozatban, hogy végre jól adták meg bejelentkezési adataikat.

(securityaffairs.co)