Armorblox araştırmacıları, American Express müşterilerini hedefleyen yeni bir kimlik avı kampanyasını ortaya çıkardı.
Mesajlar kötü amaçlı bir ek kullanır ve içerikleri kart sahiplerini kandırarak açmaya çalışır.
E-postaların konusu, alıcıları hesabı açmaya teşvik etmek amacıyla “Hesabınız Hakkında Önemli Bildirim” şeklindedir. Açıldıktan sonra, e-posta American Express'ten gelen meşru bir e-posta iletişimi olarak görünürken, içerik kart sahibine ekli güvenli, şifreli mesajı nasıl görüntüleyeceği konusunda talimat verir.
“Eki açtıktan sonra, mağdurlar, ilişkili hesap için ek doğrulama gerekliliklerini bildiren bir mesajla karşılandı. “Bu, askıya almadan önce onaylamak için son şansınız” dilinin eklenmesi ve mağdurların küresel bir güncellemenin parçası olarak ihtiyaç duyulan tek seferlik bir doğrulama sürecini tamamlamaları için bir istem aracılığıyla mağdurlara aciliyet aşılandı. American Express ekibinden." Armorblox tarafından yayınlanan analizi okur.
Mesajdaki bağlantıya tıklayan kurbanlar, şirketin logosunu ve American Express uygulamasını indirmek için bir bağlantı içeren sahte bir American Express giriş sayfasına yönlendirilir.
Sayfa, kurbanlardan kullanıcı kimliklerini ve şifrelerini girmelerini istemek için hazırlandı.
Kimlik avı kampanyası, hem DKIM hem de SPF e-posta kimlik doğrulamasını geçtiği için yerel Google Workspace e-posta güvenlik kontrollerini atladı.
Kampanyanın arkasındaki tehdit aktörleri, bu kötü amaçlı e-postayı göndermek için geçerli bir etki alanı kullandı, gönderenin kullandığı etki alanı, güvenilir bir itibar puanı ve sıfır güvenlik olayının küresel tehdit geçmişi aldı. Google tarafından güvenli olarak işaretlenen kimlik avı e-postası, 16.000'den fazla kullanıcının adresine teslim edildi.