I en nyligen upptäckt nätfiskekampanj poserar cyberbrottslingar som PayPal (öppnas i en ny flik) medan de försöker skrämma offren till att avslöja känslig information.
Cybersäkerhetsforskare på e-postsäkerhetsföretaget Avanan upptäckte nyligen en ny kampanj som har varit relativt framgångsrik så långt eftersom den inte innehåller några länkar.
Nätfiske fungerar vanligtvis genom att omdirigera människor till skadliga webbplatser via länkar som delas i ett e-postmeddelande. I denna kampanj finns det dock inga länkar i e-postmeddelandena, vilket gör de flesta e-postsäkerhetslösningar värdelösa.
Två möjliga scenarier
Det börjar på samma sätt som alla andra kampanjer: offret kommer att få ett e-postmeddelande som påstår sig vara från PayPal, som säger att de har köpt Dogecoin till ett värde av €500, och om de vill avbryta beställningen måste de ringa numret nedan .
Även om vi inte vet vad som skulle hända om ett offer ringde det här numret, finns det två möjligheter. Angripare försöker övertala offren att avslöja känslig information (till exempel PayPals inloggningsuppgifter eller kreditkortsinformation) eller "avbryta" den väntande Dogecoin-ordern och fortsätta med sin dag.
I det senare scenariot går angriparna iväg med offrets telefonnummer, som sedan kan användas för att utföra en allvarligare attack.
"En enda framgångsrik attack kan resultera i dussintals fler", sa forskarna.
Utredarna fann att telefonnumret i mejlet är på Hawaii, men det är troligen bara ett routingnummer och att de verkliga personerna i hotet finns någon annanstans.
Stora företag som PayPal eller Microsoft luras ofta av hotaktörer som försöker lura människor. För att vara säker är det viktigt att alltid dubbelkolla avsändarens e-postadress, se till att e-postmeddelandet inte innehåller misstänkta stavfel eller stavfel och inte klicka på några länkar eller ladda ner bilagor.
Bilagorna är troligen virus (öppnas på en ny flik) eller andra former av skadlig programvara (öppnas på en ny flik).
De flesta av de stora företagen har kundsupport för snabbmeddelanden samt konton på sociala medier, som kan användas för att kontrollera om de faktiskt skickade e-postmeddelandet eller inte.
Via: Toms guide (öppnas i en ny flik)