การโจมตีแบบ Phishing ล่อลวงข้อมูลประจำตัวของบัญชี Microsoft 365 ที่แอบอ้างเป็นหน่วยงานรัฐบาลสหรัฐฯ
แคมเปญ Phishing มุ่งเป้าไปที่ผู้รับเหมาในประเทศสหรัฐฯ ภายในอีเมล Phishing เป็นข้อเสนอราคาสำหรับโครงการของรัฐบาล โดยจะแสดงหน้าเป็นพอร์ทัลหน่วยงานของรัฐบาลกลางที่ถูกกฎหมาย โดยที่ INKY ได้เคยมีการรายงานเมื่อเดือนมกราคม 2022 ว่าผู้โจมตีได้ใช้ไฟล์ PDF ที่แนบมาพร้อมคำแนะนำเกี่ยวกับขั้นตอนการเสนอราคาสำหรับโครงการของกระทรวงแรงงานสหรัฐ
Read more
open redirect ทำให้เกิดช่องโหว่ใน American Express และ Snapchat ที่ใช้ประโยชน์จากการโจมตีแบบ Phishing
ช่องโหว่การเปลี่ยนopen redirect ยังคงมีอยู่เนื่องจากเว็บไซต์ที่ได้รับผลกระทบไม่ได้ตรวจสอบการป้อนข้อมูลของผู้ใช้ ซึ่งช่วยให้ผู้โจมตีสามารถจัดการ URL เพื่อเปลี่ยนเส้นทางการเข้าเว็บไซต์ของผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย เนื่องจากลิงก์ที่จัดการมีชื่อโดเมน ที่ถูกต้อง ทำให้ผู้ใช้งานอาจถือว่าลิงก์นั้นปลอดภัย ซึ่งโดเมนที่เชื่อถือได้จะใช้เป็นหน้า Landing Page เท่านั้น
Read more