Нова фішинг-атака WeTransfer підробляє обмін файлами для крадіжки облікових даних

У звіті Armorblox стверджується, що кіберзлочинці потрапили в систему хостингу WeTransfer і зараз здійснюють численні фішингові атаки. Під час цих атак підроблена електронна пошта призводить до клонованої сторінки з брендом Microsoft Excel, яка має на меті отримати облікові дані електронної пошти Office 365 людей, які стали жертвою цих атак.

Для вашої інформації, WeTransfer — це служба обміну файлами, яка використовується для передачі файлів, занадто великих для надсилання електронною поштою.

Armorblox через фішингові атаки WeTransfer

Фішинговий лист виглядає неймовірно автентичним і може обдурити навіть звичайного користувача WeTransfer у будь-який час. Він містить ім'я відправника файлів, а також опцію «Перегляд файлів, надісланих через WeTransfer».

Крім того, тіло електронної пошти містить кілька посилань на організацію, тому одержувач електронної пошти не ставить під сумнів її легітимність. Далі відображаються два надіслані посилання та посилання для перегляду цих файлів. Коли жертва атаки натискає посилання, воно веде на фішингову сторінку Microsoft Excel.

Сторінка Microsoft Excel відображає розмиту електронну таблицю ззаду з формою на передній частині, яка вимагає від жертви ввійти. Форма вже містить адресу електронної пошти жертви, що підтверджує її легітимність на кожному кроці.

Джерело зображення: Armorblox

Відомо, що доменом, який надсилає всі ці листи, є японська служба веб-хостингу під назвою «valueserver[.]jp», яка раніше була залучена до іншої фішингової атаки минулого року, як повідомила Лаур Теллісківі, аналітик Infosec.

Які прийоми використовуються в атаці?

Для залучення жертв і обходу фільтрів безпеки звичайних електронних листів у атаці було використано кілька методів. Одна з них включає соціальну інженерію, яка створює терміновість і довіру до жертви, надсилаючи в електронному листі назву, ім’я відправника та вміст.

Другий прийом, який використовується в атаці, про який варто згадати, — це видавання себе за бренд. HTML фішингової електронної пошти надзвичайно схожий на WeTransfer, а фішингова сторінка розроблена так, щоб виглядати так само, як фактична сторінка входу в Microsoft Excel. Однак єдина неприємна річ, яка відрізняє їх, — це те, що Microsoft пишеться як «MicroSoft» на фішинговій сторінці.

Зрештою, як захистити свої дані від фішингових шахраїв електронною поштою

У майбутньому ймовірно зростання фішингових атак. Ось кілька порад, як захистити себе від фішингових шахраїв:

• Уважно прочитайте кожен лист і знайдіть незначні невідповідності, зокрема ім’я відправника, доменне ім’я, адресу електронної пошти тощо.
• Уважно перевірте мову, використану в електронному листі.
• Налаштуйте багатофакторну аутентифікацію (MFA) для всіх бізнес- та особистих облікових записів.
• Використовуйте інший пароль для всіх облікових записів.
• Налаштуйте антивірус із VPN для додаткового шифрування на всіх пристроях.