Фішингова кампанія

Повідомляємо, що продовжуються випадки розсилання шкідливих електронних листів #phishing, замаскованих під листи від служби підтримки поштового сервісу, що містять активне посилання в тілі листа на фішинговий сайт, як приклад: "Натисніть тут, щоб переглянути та підтвердити свій рахунок".

Подібні листи проходять скрізь системи захисту організації, оскільки не містять явних шкідливих ознак.

Зразок електронного повідомлення:

зразок електронного повідомлення

Детальний опис:

Метою розсилання листів є отримання авторизаційних даних користувача (пароль, електронна адреса).

Листи містять посилання для проходження процедури верифікації електронної пошти на фейковій сторінці.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист –> URL –> login form –> Phishing

Потрібно зазначити, що фішингові листи надходять з IP-адреси 209.222.82.204, яка має нейтральну репутацію та використовується хмарним поштовим сервісом Barracuda Networks, Inc (відома міжнародна компанія, що забезпечує безпеку, мережу та зберігання продуктів на основі мережевих приладів та хмарних послуг).

При кліку на посилання у тілі листа відбувається перехід на сайт з фішинговою формою hxxps://formcrafts.com/a/48858?preview=true
(174.138.125.96), де користувачу пропонують ввести авторизаційні дані з подальшою їх передачею зловмисникам.
Слід зазначити, що авторизаційна форма створена на легітимному сервісі formcrafts.com (FormCraft - це WYSIWYG конструктор для створення форм та відстеження інформації, що подається за допомогою цих форм.)

Нетак давно проходили подібні розсилання фішингових поштових листів з метою отримання авторизаційних даних користувача, що містили посилання на зловмисні веб-ресурси, що були розташовані на WIX.COM - міжнародна хмарна платформа для створення та розвитку інтернет-проектів, що дозволяє будувати професійні сайти та їхні мобільні версії на HTML5.

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

     209.222.82.204

HTTP/HTTPS requests

     url     hxxps://formcrafts.com/a/48858?preview=true

     ip      174.138.125.96

Рекомендації:

- будьте пильні та не переходьте за підозрілими посиланнями і ні в я кому разі не вводьте свої авторизаційні дані на сумнівних веб-ресурсах;
- якщо випадково, або через необережність, перейшли за подібним посиланням та ввели свої авторизаційні дані у запропонованих полях, то необхідно терміново змінити пароль від того скомпрометованого акаунта.