Эксперты израильской ИБ-компании Perception Point рассказали об интересной двухэтапной атаке фишеров по электронной почте. Поддельные сообщения заверены действительной цифровой подписью, а страница для кражи учетных данных выводится при просмотре видео, размещенного на Powtoon.
Фишинговые письма, якобы содержащие счет-фактуру, используют логотип британского сервис-провайдера Egress, специализирующегося на защите имейл (в том числе от фишинга).
Электронная подпись отправителя, по всей видимости, была ранее украдена путем взлома аккаунта сотрудника компании. Наличие такого удостоверения позволяет фишерам обойти SPF-защиту.
При клике по встроенной кнопке получателя перенаправляют на облачный сервис Powtoon. Документ, который предложено открыть, снабжен логотипом Outlook, признанным усилить иллюзию легитимности.
В конце просмотра появляется поддельная страница регистрации Microsoft; по свидетельству аналитиков, она выглядит очень убедительно. Вводимые на ней учетные данные сливаются на сторону — авторам атаки.
