2 Remove Virus

Rimuovi ” Roundcube Webmail – mandatory security patches ” email di phishing

L’email di phishing Roundcube Webmail – mandatory security patches è un messaggio fraudolento che si spaccia per Roundcube Webmail nel tentativo di rubare le credenziali dell’account email. Sostiene falsamente che vengono implementate patch di sicurezza obbligatorie e aggiornamenti dei protocolli di autenticazione e istruisce i destinatari a rivedere le impostazioni del proprio account entro 24 ore per evitare di perdere l’accesso alle loro caselle di posta. La notifica non è stata inviata da Roundcube e deve essere ignorata.

 

 

L’email viene solitamente presentata come un avviso di sicurezza automatico con l’oggetto “Azione urgente necessaria”. Informa i destinatari che i loro account email richiedono attenzione immediata perché sono in fase di implementazione di nuove misure di sicurezza. Secondo il messaggio, non completare la revisione richiesta prima della scadenza può comportare interruzioni dell’accesso alle email o la perdita dei messaggi in arrivo. Queste affermazioni sono fabbricate per costringere i destinatari ad agire senza verificare la legittimità della notifica.

I destinatari sono invitati a cliccare sul pulsante “Modifica impostazioni email” incorporato nell’email. Invece di indirizzare gli utenti a una pagina di accesso legittima di Roundcube o al portale di webmail del loro provider di hosting, il pulsante apre un sito di phishing progettato per acquisire le credenziali di accesso. Durante l’analisi di questa campagna, è stato scoperto che la pagina di phishing era ospitata su habitatcyprus.com, un sito legittimo che era stato compromesso e abusato per ospitare il modulo di accesso fraudolento.

La pagina di accesso contraffatta richiede l’indirizzo email e la password del visitatore con il pretesto di completare l’aggiornamento di sicurezza richiesto. Inserire queste credenziali non aggiorna l’account né installa alcuna patch di sicurezza. Invece, le informazioni vengono trasmesse direttamente agli aggressori dietro la campagna di phishing.

Un account email compromesso può rivelare molto più di semplici messaggi email. Gli attaccanti che ottengono l’accesso possono leggere conversazioni riservate, raccogliere documenti sensibili, cercare email di reset della password, impersonarsi come proprietario dell’account o inviare ulteriori messaggi di phishing dalla cassetta compromessa. Poiché gli account email sono comunemente utilizzati per recuperare l’accesso ad altri servizi online, le credenziali rubate possono anche facilitare l’accesso non autorizzato ad account aggiuntivi associati allo stesso indirizzo email.

Un dettaglio importante di questa campagna è che abusa del nome Roundcube per apparire legittimo. Roundcube è un software open-source di webmail installato e gestito da singoli provider di hosting. Non è un servizio email autonomo che invia agli utenti notifiche di verifica dell’account o aggiornamenti di sicurezza. Il progetto Roundcube ha già avvertito gli utenti di campagne di phishing che usano in modo improprio il suo nome per rubare credenziali.

Gli aggressori si basano sull’urgenza per tutto il messaggio. Imponendo una scadenza di 24 ore e avvertendo di una possibile perdita di accesso alla casella di posta, cercano di scoraggiare i destinatari dal controllare attentamente l’email o confermare indipendentemente se la richiesta è autentica.

Chiunque abbia inserito le credenziali di accesso tramite la pagina phishing collegata all’email di phishing Roundcube Webmail – mandatory security patches deve cambiare immediatamente la password dell’account interessato. Se la stessa password è stata riutilizzata altrove, anche quegli account dovrebbero essere protetti. Si raccomandano ulteriori passaggi per verificare l’attività dell’account per accedere a non autorizzati e aggiornare le informazioni di recupero.

L’email completa di phishing Roundcube Webmail – mandatory security patches “” è riportata di seguito:

Subject: Urgent Action Needed

Roundcube Webmail

Hello, –

We are rolling out mandatory security patches and authentication protocol updates to better protect your account from unauthorized access and potential data exposure.

Please review the new settings associated with – and complete the required updates.

To avoid any disruption to your email access or potential loss of messages, we kindly ask that you complete these changes within the next 24 hours.

[Review Email Settings]

Regards,
Admin Support Team.

This message was generated –

Come identificare email come ” Roundcube Webmail – mandatory security patches “

Uno dei segnali d’allarme più evidenti è un’email non richiesta che afferma che le patch di sicurezza obbligatorie devono essere applicate tramite un pulsante contenuto nel messaggio. La gestione legittima dell’account può normalmente essere effettuata accedendo direttamente al portale ufficiale di webmail piuttosto che seguendo i link contenuti in email impreviste.

La destinazione dei link embedded dovrebbe essere verificata anche. In questa campagna, il pulsante “Esamina le impostazioni email” porta a habitatcyprus.com, che non ha alcun rapporto ufficiale con Roundcube o con il fornitore email del destinatario. Una pagina di accesso ospitata su un dominio non correlato è un forte indicatore di phishing.

I destinatari dovrebbero anche essere diffidenti verso le email che impongono scadenze brevi e minacciano restrizioni all’account, a meno che non vengano intraprese azioni immediate. Creare un’urgenza artificiale è una delle tecniche di ingegneria sociale più comuni utilizzate nelle campagne di phishing.

Un altro segnale di allarme è qualsiasi richiesta di inserire le credenziali email dopo aver seguito un link ricevuto in un messaggio non richiesto. I fornitori di hosting legittimi generalmente permettono agli utenti di gestire le impostazioni dell’account dopo aver accedito manualmente al portale ufficiale di webmail o al cruscotto di hosting del fornitore.
L’approccio più sicuro è ignorare i link contenuti nelle notifiche di sicurezza impreviste e invece accedere direttamente alla pagina ufficiale di login webmail fornita dalla società di hosting di email. Se non appare alcuna notifica corrispondente dopo l’accesso, l’email può essere considerata un tentativo di phishing.