Truffa "Microsoft Request Verification".

I ricercatori di Infosec hanno scoperto un'altra dannosa campagna di phishing volta a raccogliere le credenziali di accesso degli utenti. Questa volta le e-mail di richiamo vengono presentate come una notifica proveniente da Microsoft, che chiede ai destinatari di verificare i propri account. Le e-mail false implicano che informazioni importanti relative a un presunto ordine effettuato dall'utente siano contenute in un documento collegato. per esaminare i dati nei documenti, agli utenti viene chiesto di fare clic sul pulsante "Verifica la tua identità" presente nelle e-mail fuorvianti.

Come in genere accade quando si tratta di queste tattiche di phishing, il pulsante fornito indirizzerà gli utenti a una pagina di phishing appositamente predisposta. L'aspetto visivo del sito non sicuro può essere simile a quello di una pagina Microsoft ufficiale o adattato per corrispondere al provider di servizi di posta elettronica della vittima. In entrambi i casi, agli utenti verrà chiesto di fornire le password del proprio account per accedere e visualizzare i dettagli dell'ordine falso. Tutte le informazioni fornite al sito inaffidabile verranno compromesse diventando disponibili per i truffatori.

Le conseguenze per le vittime potrebbero essere significative. I truffatori possono utilizzare le credenziali raccolte per impossessarsi degli account di posta elettronica corrispondenti e sfruttarli per numerose attività fraudolente. Possono chiedere denaro ai contatti della vittima, diffondere malware, diffondere informazioni errate o tentare di espandere ulteriormente la propria portata compromettendo account aggiuntivi collegati all'e-mail violata. Le informazioni raccolte dai truffatori possono anche essere impacchettate e messe in vendita sui forum degli hacker.