URGENT Sales confirmation _{^(2022-08-02)}

Aperçu

The threat actor leverages an HTML file, attached in the e-mail, to acquire the password of the recipient’s e-mail address.

Explication

In this phishing attempt, the threat actor uses an HTML file, instead of using a fake web page. Such files are usually opened by a browser or directly by an e-mail client. HTML phishing files are similar to fake phishing web pages.

In this case, the e-mail client displayed the content of the HTML attachment. A fake login form is presented and a potential victim is led to believe a password is needed to verify the content of an invoice.

Behind the scenes, the password entered is submitted to a fake domain - hxxps://nistairlifts[.]co[.]uk/Opentex/script.php

There is no difference in opening the HTML file from the e-mail client or in a browser.

Exemple

---

Prévention

Si vous avez des questions d'authenticité sur un courriel, n'hésitez pas à contacter l'institution que semble vous avoir envoyé le courriel par un moyen officiel de communication, comme par exemple le téléphone (le numéro est à vérifier de façon manuelle, n'utilisez pas les numéros indiqués dans le courriel qui vous semble frauduleux).
Si vous travaillez pour l'État luxembourgeois ou si vous profitez de l'un des services du GOVCERT.LU, il est important de nous rapporter ces courriels frauduleux (via Signaler un incident ou le bouton dans Outlook) aussi tôt que possible afin qu'ils puissent bloquer l'accès vers le site et ainsi protéger toutes les autres personnes qui tenteraient d'entrer des données sur le site frauduleux.