Atak phishingowy. Zaczyna się od fałszywego alertu e‑mail

Specjaliści z Unit42 alarmują o fali ataków phishingowych, w których cyberprzestępcy wysyłają wiadomości e-mail przypominające powiadomienia filtrów antyspamowych wykorzystywanych w firmach - zwraca uwagę sekurak.pl. Celem jest przekonanie odbiorcy do wejścia na stronę podszywającą się pod panel logowania i przechwycenie jego danych uwierzytelniających.

Według analizy opublikowanej przez Malwarebytes, oszuści informują w takich e-mailach, że rzekoma aktualizacja systemu Secure Message pozbawiła użytkownika części korespondencji. W treści sugerują, że oczekujące wiadomości można teraz przenieść do skrzynki odbiorczej za pomocą widocznego przycisku lub linku.

Kliknięcie zarówno w przycisk "Przenieś do skrzynki", jak i link do wypisu z subskrypcji przekierowuje użytkownika z adresu cbssports[.]com na spreparowaną stronę mdbgo[.]io. Tam prezentowany jest fałszywy ekran logowania z automatycznie wypełnionym adresem e-mail ofiary, co budzi zaufanie i sprawia, że całość wygląda autentycznie.

Kod oszukańczej strony został silnie zaciemniony w celu ukrycia prawdziwej funkcji. Po stronie technicznej, do pobierania danych wykorzystywany jest websocket, umożliwiający natychmiastową wymianę informacji między przeglądarką a serwerem. W praktyce oznacza to, że podawane loginy i hasła trafiają do atakujących błyskawicznie, jeszcze zanim użytkownik zakończy cały proces.

Dodatkowo cyberprzestępcy mogą zażądać podania dodatkowych danych, takich jak kody 2FA. W niektórych wariantach kampanii, po wpisaniu hasła, użytkownik widzi komunikat o błędnym logowaniu. Informacja ta ukazuje się na chwilę, a potem formularz jest czyszczony – tak, by zachęcić ofiarę do ponownego wpisania informacji.

Eksperci zalecają weryfikację autentyczności otrzymywanych powiadomień systemowych, także w formie tego rodzaju e-maili oraz regularne szkolenia z cyberbezpieczeństwa, by unikać podobnych zagrożeń.