Злоумышленники пытаются украсть учетные данные из корпоративной почты, рассылая списки спам-писем, помещенных в карантин.
Что вы делаете, когда нежелательное электронное письмо попадает в ваш рабочий почтовый ящик? Если вы не являетесь специалистом по спам-анализу, то скорее всего, вы просто удалите его. Парадоксально, но именно этого и хотят некоторые фишеры, и в результате наши почтовые ловушки в последнее время получают все больше и больше электронных писем, которые выглядят как уведомления о явно нежелательных сообщениях.
Как это работает
Киберпреступники, полагаясь на неопытность пользователей в технологиях защиты от спама, рассылают сотрудникам компании уведомления об электронных письмах, которые якобы поступили на их адрес и были помещены в карантин. Такие сообщения выглядят примерно так:
Поддельное уведомление о сообщениях, помещенных в карантин.
Выбор темы, как правило, не важен - злоумышленники просто копируют стиль другой рекламы нежелательных товаров и услуг и предоставляют кнопки для удаления или сохранения каждого сообщения. Он также предоставляет возможность удалить все сообщения в карантине сразу или открыть настройки почтового ящика. Пользователи даже получают визуальные инструкции:
Визуальные инструкции, присланные мошенниками.
В чем подвох?
Загвоздка, конечно же, в том, что кнопки не такие, какими кажутся. За каждой кнопкой и гиперссылкой находится адрес, по которому человек попадает на поддельную страницу входа в систему, которая выглядит как веб-интерфейс почтовой службы:
Фишинговый сайт.
Сообщение «Session Expired» предназначено для того, чтобы убедить пользователя войти в систему. Конечно, страница служит одной цели: собирать учетные данные корпоративной почты.
Подсказки
В электронном письме первое, что должно вызвать сигнал тревоги, — это адрес отправителя. Если бы уведомление было настоящим, оно должно было бы прийти с вашего почтового сервера, домен которого совпадает с вашим почтовым адресом, а не от неизвестной компании, как в данном случае.
Прежде чем нажимать ссылки или кнопки в любом сообщении, проверьте, где они указывают, наведя на них курсор мыши. В этом случае одна и та же ссылка вставляется во все активные элементы и указывает на веб-сайт, который не имеет отношения ни к домену получателя, ни к венгерскому домену отправителя. Сюда входит кнопка, которая якобы отправляет «HTTP-запрос на удаление всех сообщений из карантина». Тот же адрес должен служить красным флажком на странице входа.
