I ricercatori di Armorblox hanno scoperto una nuova campagna di phishing che prende di mira i clienti di American Express nel tentativo di rubare informazioni riservate.
L’attacco inizia con una e-mail di notifica che sembra arrivare da American Express che include un allegato dannoso e che informa i destinatari dell’obbligo di una verifica dell’account. L’oggetto cita “Notifica importante sul tuo account”. In caso contrario, avvisa che l’account verrà sospeso. Il collegamento principale all’interno dell’e-mail porta a una pagina di destinazione falsa con il marchio American Express che spinge le vittime ad accedere per verificare l’account.
Una volta aperta, l’e-mail appare come una comunicazione e-mail legittima da American Express e il testo fornisce le indicazioni al titolare della carta su come visualizzare il messaggio protetto e crittografato in allegato.
“Alle vittime di questo attacco e-mail mirato è stato chiesto di aprire l’allegato per visualizzare il messaggio protetto. Dopo aver aperto l’allegato, le vittime sono state accolte con un messaggio che annunciava ulteriori requisiti di verifica per l’account associato. L’urgenza è stata instillata nelle vittime attraverso l’inclusione della lingua “Questa è la tua ultima possibilità di confermarla prima di sospenderla” e una richiesta per le vittime di completare un processo di verifica una tantum necessario come parte di un aggiornamento globale dal team dell’American Express”, si legge nell’analisi pubblicata dall’Armorblox.
Una volta che le vittime hanno fatto clic sul collegamento all’interno del messaggio, sono state reindirizzate a una pagina di accesso falsa di American Express. Alle vittime è stato chiesto di accedere al proprio account American Express, con credenziali ID utente e password.
Gli attori malevoli hanno incluso, oltre il logo American Express e una firma che faceva apparire come inviata dal team di assistenza clienti di American Express, anche collegamenti di navigazione aggiuntivi per far sembrare che questa pagina di destinazione facesse parte del più grande sito Web di American Express. Gli aggressori hanno offerto alle vittime opzioni per recuperare le credenziali di accesso dimenticate e la pagina di destinazione includeva persino un annuncio che incoraggiava il download dell’app American Express che rispecchiava il marchio American Express.
Questa campagna phishing ha aggirato i controlli di sicurezza e-mail nativi di Google Workspace perché ha superato l’autenticazione e-mail DKIM e SPF.
“Gli aggressori hanno utilizzato un dominio valido per inviare questa e-mail dannosa, con l’obiettivo di esfiltrare dati PII sensibili. Il dominio del mittente ha ricevuto un punteggio di reputazione di una cronologia delle minacce affidabile e globale pari a zero eventi di sicurezza. Google ha contrassegnato questa e-mail come sicura, il che l’avrebbe recapitata a più di 16.000 caselle di posta di utenti se non fosse stato per Armorblox che ha fermato questo attacco. Fortunatamente questi utenti finali sono protetti da Armorblox, che ha rilevato accuratamente questo attacco e-mail che conteneva un allegato dannoso. Armorblox utilizza la comprensione del linguaggio naturale (NLU) per comprendere il contenuto e il contesto delle comunicazioni e-mail per fornire alle organizzazioni e agli utenti finali una migliore protezione da questi tipi di attacchi e-mail mirati e di ingegneria sociale. I modelli Armorblox Global ML hanno rilevato che il mittente di questa e-mail era lo stesso di altre minacce rilevate che Armorblox ha bloccato, impedendo che questo attacco e-mail venga mai recapitato alle caselle di posta degli utenti finali”, concludono i ricercatori.
https://www.armorblox.com/blog/american-express-email-attack/