Os invasores estão tentando roubar credenciais de e-mail corporativo, enviando listas de e-mails de spam em quarentena.

O que você faz quando um e-mail não solicitado chega à sua caixa de entrada de trabalho? A menos que você seja um analista de spam, provavelmente irá apenas excluí-lo. Paradoxalmente, é exatamente isso que alguns phishers querem que você faça e, como resultado, nossas soluções de segurança de e-mail têm visto cada vez mais mensagens que parecem ser notificações sobre e-mails obviamente indesejados.

Como funciona

Os cibercriminosos, contando com a inexperiência dos usuários sobre tecnologias antispam, enviam notificações aos funcionários da empresa sobre e-mails que supostamente chegaram em seu endereço e foram colocados em quarentena. Essas mensagens são mais ou menos assim:

A escolha do tópico geralmente não é importante – os invasores simplesmente copiam o estilo de outra mensagem de alerta para produtos e serviços não solicitados e fornecem botões para excluir ou manter cada mensagem. Ele também oferece a opção de excluir todas as mensagens em quarentena de uma vez ou de abrir as configurações da caixa de entrada.

Qual é o truque?

O problema, claro, é que os botões não são o que parecem. Atrás de cada botão e hiperlink está um endereço que leva o usuário a uma página de login falsa, que se parece com a interface da web do serviço de e-mail:

A mensagem “Sessão Expirada” tem o objetivo de persuadir o usuário a entrar. A página tem um propósito, é claro: coletar credenciais de e-mail corporativo.

Pistas

No e-mail, a primeira coisa que deve parecer estranha é o endereço do remetente. Se a notificação fosse real, teria que vir do seu servidor de e-mail, que possui o mesmo domínio do seu endereço de e-mail, e não, como neste caso, de uma empresa desconhecida.

Antes de clicar em qualquer link ou botão em qualquer mensagem, verifique para onde eles apontam passando o cursor do mouse sobre eles. Nesse caso, o mesmo link é atrelado a todos os elementos ativos e aponta para um site que não tem relação com o domínio do destinatário ou com o domínio húngaro do remetente. Isso inclui o botão que supostamente envia uma “solicitação HTTPs para excluir todas as mensagens da quarentena”. O mesmo endereço deve servir como um alerta vermelho na página de login.

Fonte: kaspersky