Злоумышленники рассылают жертвам письма с темой: "Важное уведомление о вашем счете", пытаясь заставить получателей открыть его.
Если жертва открывает письмо, то внутри находит сообщение, которое выглядит как легитимное сообщение от American Express, в котором находится инструкция, рассказывающая о том, как посмотреть зашифрованное вложение.
Стоит жертве открыть вложение, ее встречает сообщение о дополнительных требованиях к проверке соответствующего счета. Злоумышленники убеждают получателей выполнить “проверку счета” как можно скорее.
Если получатель нажимает на ссылку в сообщении, то перенаправляется на фальшивую страницу входа в American Express.
На этой странице жертвам предлагается ввести свой ID и пароль.
Фишинговая кампания обошла встроенные средства контроля безопасности электронной почты Google Workspace, поскольку она прошла проверку подлинности DKIM и SPF, согласно Securitylab. Кроме того, домен, используемый злоумышленниками для отправки вредоносных писем, получил рейтинг “надежный”. Мошенники успели отправить фишинговые письма более чем 16 000 пользователей.