Phishingkampanj genom Sveriges största webbhotell

Just nu pågår en ny phishingkampanj som riktas mot domäninnehavare och kunder hos Sveriges största webbhotell Loopia. Genom att hämta information från publika DNS-servrar kan angriparna identifiera e-postadresser som är kopplade till utvalda webbhotell och domännamnregistratorer.

Angriparna påstår att en session mot Loopias kundportal inte avslutats korrekt och mottagaren ombeds logga in och avsluta sessionen korrekt. Syftet är att komma över inloggningsuppgifter till Loopias kundportal och därigenom få möjlighet att t.ex. styra om e-posttrafiken så att den enkelt kan avlyssnas, sprida skadlig eller att omdirigera webbtrafik till någon annan sida.

Om man följer länken i e-postmeddelandet hamnar man på en webbsida snarlik Loopias egna. Anslutningen sker över https med giltigt certifikat. Men var uppmärksam på URL:en - den stämmer inte alls överens med Loopias webbadress.

Den falska webbsidan ligger på en amerikansk server och gömmer sig i en underkatalog hos en online shop. Nimblr har meddelat innehavaren av webbplatsen om problemet.

Det är inte första gången som angripare ger sig på Loopias kunder, liknande tillvägagångssätt har förekommit under en längre tid i olika former. Nimblr har tidigare registrerat phishing-meddelanden som påstår att e-postadresser behöver verifieras eller att avgiften för ett domännamn inte betalats.