Badacze z firmy Sophos poinformowali, że atak udaje ekran logowania Google, a strona wydaje się zmodyfikowaną podstroną serwisu Etiopskiego Czerwonego Krzyża.
Według Sophos, atak odbywa się poprzez wiadomość o rzekomym zamówieniu w docelowej skrzynce odbiorczej. Użytkownik jest proszony o zalogowanie się do Google Docs w celu dokonania przeglądu faktury.
Kliknięcie linku powoduje jednak przekierowywane do strony phishingowej zaprojektowanej na wzór Google Docs. Strona pyta użytkownika o podanie poświadczeń logowania, które przypuszczalnie zostaną wykorzystane przez napastnika do przejęcia konta.
Co najbardziej osobliwe w tym ataku to wybór domeny macierzystej. Wygląda na to, że strona jest wynikiem włamania do serwisu Etiopskiego Czerwonego Krzyża..
“Na pierwszy rzut oka wydaje się, że logujesz się do Google Docs, aby zobaczyć treść e-maila – ale bliższa analiza paska adresu pokazuje, że nie jest to strona Google, ale zamiast tego strona ukryta w internetowym serwisie Etiopskiego Czerwonego Krzyża.” Graham Cluley, starszy konsultant w Sophos, napisał w blogu.
“Oczywiście, nie należy wprowadzić poświadczenia na stronie – jako że konto może skończyć w rękach cyberprzestępców.”
Strony agencji rządowych, organizacji non-profit i instytucji edukacyjnych były w przeszłości celami ataków, które mogły prowadzić do załadowania plików stron phishingowych. Użytkownicy powinni unikać kliknięciu łącza w wiadomości e-mail z nieznanego źródła i sprawdzić adres URL każdej strony, która prosi o logowanie.