Группа анализа ASEC недавно обнаружила распространение фишингового электронного письма, выдающего себя за некоммерческую квазиправительственную организацию. Поскольку письмо использует веб-страницу, замаскированную под страницу входа в систему GobizKOREA, обслуживаемую Корейским агентством малого и среднего бизнеса и стартапов (KOSME), пользователям, работающим в сфере торговли, следует проявлять повышенную осторожность.
В нем сообщается, что был зарегистрирован новый запрос от покупателя. Поскольку все пять гиперссылок в письме перенаправляют на веб-страницу, замаскированную под страницу входа в систему GobizKOREA, нажатие на любую из них перенаправляет читателя на поддельную страницу.
Если щелкнуть по гиперссылкам в письме, откроется страница входа в систему, как показано ниже.
Адрес электронной почты не может быть изменен, поскольку тег стиля типа ввода, который используется в качестве текстового поля, установлен как "только для чтения".
Код сценария HTML-файла мало чем отличается от других фишинговых файлов.
После того как пользователи введут пароль и нажмут кнопку для входа в систему, их учетные данные будут переданы на сервер злоумышленника методом POST.
Полученные учетные данные могут быть проданы или использованы не по назначению.
Поскольку люди обычно используют одинаковые или похожие пароли на большинстве веб-сайтов, которые они используют, в результате таких атак может возникнуть дополнительный ущерб. Поэтому пользователям следует опасаться фишинговых писем.
GobizKOREA предупреждает своих членов о таких письмах с 2019 года на своем официальном сайте.
В уведомлениях поясняется, что организация никогда не отправляет электронные письма с просьбой оплатить услуги и предупреждает пользователей не входить в систему через такие письма.
Фишинговые электронные письма, которые постоянно обнаруживаются, имеют одну общую черту: несмотря на разный уровень сложности, все они предлагают пользователям ввести учетные данные на веб-страницах, перенаправленных через вложения или ссылки в письме.
Поэтому пользователям следует воздержаться от ввода идентификаторов и паролей на веб-страницах, если только они не зашли непосредственно на официальный сайт.
Indicators of Compromise
URLs
- https://akaefe.duckdns.org
- https://ghomud.duckdns.org