Black Week z sekurakiem! Tniemy ceny nawet o 80%!

Nowa ksiażka sekuraka o bezpieczeństwie Linux!

Książka o zabezpieczaniu Linux

E-maile phishingowe podszywające się pod alerty filtrów antyspamowych kradną dane logowania

24 listopada 2025, 02:41 | W biegu | 0 komentarzy
Tagi: , , ,

Badacze z Unit42 ostrzegają na X o nowej kampanii phishingowej, w której cyberzbóje podszywają się pod powiadomienia o „niedostarczeniu wiadomości” z filtrów antyspamowych wewnątrz organizacji. Celem jest zwabienie ofiary na stronę phishingową, która kradnie dane logowania.

Źródło: https://x.com/Unit42_Intel/status/1988002020465192985?s=20

Malwarebytes opublikował na swoim blogu analizę jednej z takich wiadomości. W komunikacie przesłanym do ofiary cyberzboje twierdzą, że z powodu aktualizacji systemu Secure Message część oczekujących e-maili nie trafiła do skrzynki odbiorczej i jest gotowa do przeniesienia właśnie teraz.

Źródło: https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

Zarówno przycisk „Move to Inbox”, jak i link do wypisania się z subskrypcji wykorzystują przekierowanie z domeny cbssports[.]com na stronę phishingową znajdującą się w domenie mdbgo[.]io.

Po wejściu na tę stronę ofiara widzi fałszywy ekran logowania z już wypełnionym adresem mailowym (mail jest umieszczany po znaku “#” definiującym fragment w URL – ta wartość nigdy nie trafia do serwera WWW, ale jest wykorzystywana przez JavaScript do wypełnienia formularza) — co sprawia, że wygląda on na spersonalizowany i wiarygodny.

Źródło: https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

Kod strony phishingowej jest mocno zaciemniony, a dane logowania są pozyskiwane za pośrednictwem websocketu. Dzięki temu przeglądarka i serwer mogą natychmiast wymieniać wiadomości w obie strony, bez potrzeby przeładowywania strony. Oznacza to, że cyberzbóje otrzymują dane w chwili, gdy tylko ofiara zacznie je wpisywać na stronie phishingowej. Mogą też wysyłać prośby o dodatkowe informacje, np. kody dwuskładnikowego uwierzytelniania (2FA).

W innym opisywanym przypadku gdy użytkownik wpisze swoje hasło, dane są wysyłane poprzez żądanie HTTP POST na złośliwy serwer. Następnie wyświetlany jest fałszywy komunikat ‘Logowanie jest nieprawidłowe’ przez 2 sekundy, po czym pole hasła zostaje wyczyszczone. Ta technika ma skłonić użytkownika do ponownego wpisania hasła, na wypadek gdyby pomylił się za pierwszym razem.

Jak się chronić?

  • Ogólna zasada brzmi: zastanów się 10 razy, zanim klikniesz w „niewywołany” przez Ciebie (np. przy resecie hasła) link w wiadomości e-mail, zwłaszcza taki znajdujący się w wiadomościach z komunikatami wzywającymi do pilnego działania.
  • Zweryfikuj prośbę, kontaktując się z działem IT lub pomocą techniczną poprzez znany, zaufany kanał.
  • Używaj menedżera haseł. Menedżer nie wypełni hasła na fałszywej stronie, nawet jeśli Tobie wyda się ona prawdziwa.

~Natalia Idźkowska

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz