「Microsoft Request Verification」詐欺
Infosec の研究者は、ユーザーのログイン資格情報を収集することを目的とした別の有害なフィッシング キャンペーンを発見しました。今回のおとりメールは Microsoft からの通知として表示され、受信者にアカウントの確認を求めます。偽の電子メールは、ユーザーが行ったと思われる注文に関する重要な情報が、リンクされたドキュメントに含まれていることを暗示しています。ドキュメント内のデータを確認するには、ユーザーは、誤解を招く電子メールにある [本人確認] ボタンをクリックするよう求められます。
これらのフィッシング戦術に関してはよくあることですが、提供されたボタンはユーザーを特別に細工されたフィッシング ページに誘導します。安全でないサイトの外観は、Microsoft の公式ページに似ているか、被害者の電子メール サービス プロバイダーに合わせて調整されている可能性があります。いずれの場合も、ユーザーはアカウントのパスワードを入力してログインし、偽の注文の詳細を表示するよう求められます。信頼できないサイトに提供されたすべての情報は、詐欺師が利用できるようになることで危険にさらされます.
被害者への影響は重大である可能性があります。詐欺師は、収集した資格情報を使用して、対応する電子メール アカウントを乗っ取り、多数の詐欺行為に悪用する可能性があります。被害者の連絡先に金銭を要求したり、マルウェアを拡散したり、誤った情報を流布したり、侵害された電子メールに接続された追加のアカウントを侵害して、さらに範囲を拡大しようとしたりする可能性があります。詐欺師が収集した情報は、パッケージ化され、ハッカー フォーラムで販売される場合もあります。
