Kategorier
Security awareness

Ny phishingkampanj riktad mot domäninnehavare

Just nu pågår en ny phishingkampanj som riktas mot domäninnehavare och kunder hos Sveriges största webbhotell Loopia. Genom att hämta information från publika DNS-servrar kan angriparna identifiera e-postadresser som är kopplade till utvalda webbhotell och domännamnregistratorer.

Angriparna påstår att en session mot Loopias kundportal inte avslutats korrekt och mottagaren ombeds logga in och avsluta sessionen korrekt. Syftet är att komma över inloggningsuppgifter till Loopias kundportal och därigenom få möjlighet att t.ex. styra om e-posttrafiken så att den enkelt kan avlyssnas, sprida skadlig eller att omdirigera webbtrafik till någon annan sida.

Det falska e-postmeddelandet skickas till e-postadresser angivna som kontakter i DNS-servrarna.

Om man följer länken i e-postmeddelandet hamnar man på en webbsida snarlik Loopias egna. Anslutningen sker över https med giltigt certifikat. Men var uppmärksam på URL:en – den stämmer inte alls överens med Loopias webbadress.

Den falska Loopia-sidan är nästan identisik med den riktiga sidan.

Den falska webbsidan ligger på en amerikansk server och gömmer sig i en underkatalog hos en online shop. Nimblr har meddelat innehavaren av webbplatsen om problemet.

Det är inte första gången som angripare ger sig på Loopias kunder, liknande tillvägagångssätt har förekommit under en längre tid i olika former. Nimblr har tidigare registrerat phishing-meddelanden som påstår att e-postadresser behöver verifieras eller att avgiften för ett domännamn inte betalats.