Una campagna di spear phishing(*) altamente mirata sta interessando ancora una volta i titolari di account di posta elettronica Zimbra in Italia. Zimbra, lo ricordiamo, è un provider e-mail che gestisce centinaia di milioni di caselle postali nel mondo fornendo il servizio a imprese, istituzioni e fornitori.
Il messaggio ingannevole
Questa volta il messaggio di posta elettronica tenta di impersonare il team di sicurezza della propria azienda che ordina di seguire un’azione obbligatoria di aggiornamento sull’account di posta elettronica dell’interlocutore, pena l’interruzione del servizio. Il messaggio contiene anche un link da seguire e suggerisce di spostare l’e-mail dallo SPAM qualora si avessero problemi nel visualizzare il collegamento proposto.
La pagina di landing
La pagina web propinata (https:// kwaiants-smuetts-schliicts[.]yolasite[.]com) si presenta come un form con loghi e grafica Zimbra che chiede di inserire indirizzo e-mail, nome utente, doppia conferma della password e un presunto controllo CAPTCHA nel tentativo di dare ulteriore legittimità alle richieste. In realtà dando seguito, si finisce con il consegnare ai truffatori i propri dati di accesso. Infatti le informazioni inserite nel modulo vengono inviate tramite richiesta POST al form “https:// forms[.]ws-platform[.]net/submit-contact-form/“.
Raccomandazioni
Come sempre in questi casi, si raccomanda a tutti gli utenti di non condividere mai i propri dati sensibili con una terza parte e di interpellare nel dubbio il team di sicurezza della propria azienda per verificare la legittimità o meno delle richieste.
IoC
https://urlscan.io/result/0c61e330-da7e-4cf2-afe7-14102c240a0e/
(*)Per segnalazioni di phishing e malspam potete scrivere a computersecuritynews@altervista.org sarà garantita la massima riservatezza.