Em uma postagem do blog na quarta-feira, especialistas da Cofense relataram sobre uma campanha de phishing que envia e-mails com o objetivo de ser uma notificação solicitando aos funcionários que concluam o treinamento com a empresa de conscientização sobre segurança cibernética KnowBe4. Clicar nos links incorporados, no entanto, leva os destinatários do e-mail a uma página de phishing projetada para roubar suas credenciais do Microsoft Outlook e outras informações pessoais.
KnowBe4 relatou originalmente sobre o mesmo esquema em seu próprio blog no início deste mês, observando que o golpe “deve servir como um lembrete de que nenhuma empresa ou marca online está imune ou imune a falsificações como parte de uma campanha de e-mail malicioso. Marcas, sites e serviços online são vulneráveis a tais ataques, e seus usuários devem estar totalmente cientes desse fenômeno. ”
O e-mail avisa os funcionários que eles têm apenas um dia para concluir o treinamento antes que o programa expire. A urgência costuma ser uma ferramenta usada por engenheiros sociais para induzir as vítimas a tomar decisões precipitadas sem pensar nas consequências de suas ações. E o fato de os invasores escolherem um tema de segurança cibernética é especialmente enganoso.
Os e-mails também “desencorajam os destinatários de navegar diretamente para páginas legítimas de treinamento da empresa com a seguinte declaração”, observa os coautores Max Gannon e Brad Haas, analistas de inteligência de ameaças da Cofense, insistindo que o treinamento não está disponível no portal do funcionário .
A Cofense diz que o kit de phishing está hospedado nos domínios de pelo menos sites comprometidos desde meados de abril de 2020. Vários desses sites também hospedaram recentemente um shell da web chamado “Chips L MINI SHELL” que dá aos invasores a capacidade de fazer upload e editar arquivos.
Portanto, talvez as empresas agora tenham que realizar treinamento adicional de conscientização sobre segurança para alertar os funcionários a procurarem treinamentos falsos de conscientização sobre segurança.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…