Form pendaftaran newsletter dari situs web perusahaan internasional telah digunakan oleh aktor berbahaya untuk menyamarkan email phishing sebagai pesan newsletter resmi.
Pendekatan baru yang inovatif untuk meluncurkan serangan phishing yang diamati oleh para peneliti Doctor Web ini juga memiliki keuntungan menghindari filter spam yang dibangun ke dalam server email dan klien, selain menipu penerima agar berpikir mereka menerima pesan newsletter resmi.
Phishing berbasis email digunakan oleh aktor berbahaya untuk mengelabui target mereka agar mengunjungi situs web yang dirancang untuk mengumpulkan berbagai informasi rahasia, mengunduh lampiran yang berisi malware, atau mengklik tautan yang mengarahkan ulang ke lampiran yang bermuatan malware.
Sebagaimana dirinci dalam laporan Dr.Web, aktor di balik serangan phishing ini mengirim email menggunakan alamat resmi dari perusahaan-perusahaan di seluruh dunia seperti Audi, Austrian Airlines, dan S-Bahn Berlin, dengan tajuk ‘money for you’ dalam bahasa Rusia.
“Di awal email, sebuah tautan mengarahkan pengguna ke halaman yang diretas dari situs web kencan. Kemudian karena kode berbahaya yang disematkan ke dalam halaman rintisan situs web, pengguna dialihkan melalui beberapa situs web lain ke situs phising,” kata Dr.Web.
Setelah berada di halaman phishing, para korban diberitahu bahwa mereka dapat memasukkan promo yang dijuluki “The lucky e-mail” yang mengharuskan mereka untuk mengisi sejumlah pertanyaan survei untuk dapat memenangkan hadiah yang berkisar antara €10 hingga €3000. Terstimoni palsu dari pemenang hadiah dan partisipan yang kalah juga dimasukkan di halaman phishing untuk membuat keseluruhan skema jauh lebih kredibel.
Setelah pertanyaan survei diisi dan info tambahan mengenai promo, ukuran hadiah, dan kondisi penarikan, scammers juga akan meminta untuk komisi pertukaran EUR ke RUB kepada calon “pemenang hadiah” untuk memasuki promo internasional.
“Untuk membayar komisi, korban diarahkan ke halaman pembayaran palsu di mana mereka seharusnya memasukkan informasi kartu kredit mereka. Setelah selesai, korban diminta untuk memberikan kode verifikasi yang dikirim melalui SMS. Ketika semua langkah selesai, akun bank korban didebit dan data kartu kredit mereka diserahkan kepada peretas. Selain itu, tidak ada dana yang dikreditkan ke rekening bank korban,” kata Dr.Web.
Namun, bagian yang paling menarik adalah bagaimana para aktor berbahaya menggunakan form pendaftaran newsletter dari situs web resmi berbagai perusahaan untuk mengirim email phishing dengan menambahkan tautan ke situs web phishing mereka dalam bidang “Nama Belakang” dan peluncuran phising dengan tajuk “Money for you” di bidang “Nama”.
