URGENT Sales confirmation (2022-08-02)

Übersicht

The threat actor leverages an HTML file, attached in the e-mail, to acquire the password of the recipient’s e-mail address.

Erklärung

In this phishing attempt, the threat actor uses an HTML file, instead of using a fake web page. Such files are usually opened by a browser or directly by an e-mail client. HTML phishing files are similar to fake phishing web pages.

In this case, the e-mail client displayed the content of the HTML attachment. A fake login form is presented and a potential victim is led to believe a password is needed to verify the content of an invoice.

Behind the scenes, the password entered is submitted to a fake domain - hxxps://nistairlifts[.]co[.]uk/Opentex/script.php

There is no difference in opening the HTML file from the e-mail client or in a browser.

Beispiel

phishing_form

Prävention

Wenn Sie sich nicht sicher sind, ob eine E-Mail tatsächlich vom vermeintlichen Absender stammt, können Sie im Zweifel selber bei der Person nachfragen. Dies sollte über einen anderen zuverlässigen Kommunikationskanal geschehen, zum Beispiel per Telefon, wobei die kontaktierte Nummer selbstverständlich nicht aus der zu überprüfenden E-Mail entnommen werden sollte.
Wenn Sie Staatsangestellter sind oder aus anderen Gründen die Dienste von GOVCERT.LU in Anspruch nehmen, bitten wir Sie, uns suspekte E-Mails zu melden (via Einen Vorfall melden oder GOVCERT.LU Plugin im Outlook). Nur so können wir Phishing-Versuche frühzeitig blockieren und Schaden von möglicherweise weiteren Empfängern abwenden.

Einen Vorfall melden

Wenn Sie den Vorfall anonym melden möchten, füllen Sie bitte das verschlüsselte PGP-Meldeformular aus.

> Melden
> Weitere Informationen