De phishing-e-mail Roundcube Webmail – mandatory security patches is een frauduleus bericht dat zich voordoet als Roundcube Webmail in een poging e-mailgegevens te stelen. Het beweert ten onrechte dat verplichte beveiligingspatches en updates van authenticatieprotocollen worden uitgerold en instrueert ontvangers om hun accountinstellingen binnen 24 uur te controleren om te voorkomen dat ze de toegang tot hun mailboxen verliezen. De melding wordt niet verzonden door Roundcube en moet genegeerd worden.

 

 

De e-mail wordt meestal gepresenteerd als een geautomatiseerde beveiligingsmelding met het onderwerp “Dringende actie nodig”. Het informeert ontvangers dat hun e-mailaccounts onmiddellijke aandacht nodig hebben omdat er nieuwe beveiligingsmaatregelen worden ingevoerd. Volgens het bericht kan het niet voltooien van de gevraagde beoordeling vóór de deadline leiden tot verstoorde e-mailtoegang of het verlies van binnenkomende berichten. Deze claims worden verzonnen om ontvangers onder druk te zetten om te handelen zonder de legitimiteit van de kennisgeving te verifiëren.

Ontvangers worden geïnstrueerd om op de knop “E-mailinstellingen bekijken” te klikken die in de e-mail is ingebed. In plaats van gebruikers te verwijzen naar een legitieme Roundcube-inlogpagina of het webmailportaal van hun hostingprovider, opent de knop een phishingwebsite die is ontworpen om inloggegevens te verzamelen. Tijdens de analyse van deze campagne bleek dat de phishingpagina werd gehost op habitatcyprus.com, een legitieme website die was gecompromitteerd en misbruikt om het frauduleuze inlogformulier te hosten.

De vervalste inlogpagina vraagt het e-mailadres en wachtwoord van de bezoeker op onder het mom de vereiste beveiligingsupdate te voltooien. Het invoeren van deze inloggegevens werkt het account niet bij en installeert geen beveiligingspatches. In plaats daarvan wordt de informatie rechtstreeks doorgegeven aan de aanvallers achter de phishingcampagne.

Een gecompromitteerd e-mailaccount kan veel meer blootstellen dan alleen e-mailberichten. Aanvallers die toegang krijgen, kunnen vertrouwelijke gesprekken lezen, gevoelige documenten verzamelen, zoeken naar e-mails met wachtwoordreset, zich voordoen als accounteigenaar of extra phishingberichten sturen vanuit de gecompromitteerde mailbox. Omdat e-mailaccounts vaak worden gebruikt om toegang tot andere online diensten terug te krijgen, kunnen gestolen inloggegevens ook ongeautoriseerde toegang tot extra accounts die aan hetzelfde e-mailadres gekoppeld zijn, vergemakkelijken.

Een belangrijk detail over deze campagne is dat het de naam Roundcube misbruikt om legitiem over te komen. Roundcube is open-source webmailsoftware die wordt geïnstalleerd en beheerd door individuele hostingproviders. Het is geen zelfstandige e-maildienst die gebruikers accountverificatie of beveiligingsupdates stuurt. Het Roundcube-project heeft gebruikers eerder gewaarschuwd voor phishingcampagnes die zijn naam misbruiken om inloggegevens te stelen.

De aanvallers vertrouwen op urgentie gedurende het hele bericht. Door een deadline van 24 uur op te leggen en te waarschuwen voor mogelijk verlies van de mailbox-toegang, proberen ze ontvangers te ontmoedigen om de e-mail zorgvuldig te inspecteren of onafhankelijk te bevestigen of het verzoek oprecht is.

Iedereen die via de phishingpagina die in de phishing-e-mail Roundcube Webmail – mandatory security patches is gekoppeld, inloggegevens invoert, moet onmiddellijk het wachtwoord van het getroffen account wijzigen. Als hetzelfde wachtwoord elders is hergebruikt, moeten die accounts ook beveiligd zijn. Het controleren van accountactiviteit op ongeautoriseerde inloggegevens en het bijwerken van herstelinformatie worden aanbevolen als extra stappen.

De volledige phishing-e-mail Roundcube Webmail – mandatory security patches staat hieronder:

Subject: Urgent Action Needed

Roundcube Webmail

Hello, –

We are rolling out mandatory security patches and authentication protocol updates to better protect your account from unauthorized access and potential data exposure.

Please review the new settings associated with – and complete the required updates.

To avoid any disruption to your email access or potential loss of messages, we kindly ask that you complete these changes within the next 24 hours.

[Review Email Settings]

Regards,
Admin Support Team.

This message was generated –

Hoe herken je e-mails zoals ” Roundcube Webmail – mandatory security patches “

Een van de duidelijkste waarschuwingssignalen is een ongevraagde e-mail waarin wordt beweerd dat verplichte beveiligingspatches via een knop in het bericht moeten worden toegepast. Legitiem accountonderhoud kan normaal gesproken worden uitgevoerd door direct in te loggen op het officiële webmailportaal in plaats van via links te volgen die in onverwachte e-mails staan.

De bestemming van ingebedde links moet ook worden geverifieerd. In deze campagne leidt de knop “E-mailinstellingen bekijken” naar habitatcyprus.com, dat geen officiële relatie heeft met Roundcube of de e-mailprovider van de ontvanger. Een inlogpagina die op een niet-gerelateerd domein wordt gehost, is een sterke aanwijzing voor phishing.

Ontvangers moeten ook achterdochtig zijn tegenover e-mails die korte deadlines opleggen en accountbeperkingen bedreigen, tenzij er direct actie wordt ondernomen. Het creëren van kunstmatige urgentie is een van de meest gebruikte social engineering-technieken in phishingcampagnes.

Een ander waarschuwingssignaal is elk verzoek om e-mailgegevens in te voeren na het volgen van een link die in een ongevraagd bericht is ontvangen. Legitieme hostingproviders stellen gebruikers over het algemeen in staat om accountinstellingen te beheren nadat ze handmatig toegang hebben gehad tot het officiële webmailportaal of het hostingdashboard van de provider.
De veiligste aanpak is om links in onverwachte beveiligingsmeldingen te negeren en in plaats daarvan direct naar de officiële webmail-inlogpagina van het e-mailbedrijf te navigeren. Als er na het inloggen geen bijbehorende melding verschijnt, kan de e-mail worden behandeld als een phishingpoging.

Geef een reactie