Récemment analysé, une nouvelle campagne de phishing s’identifiant comme helpdesk appelé "servicedesk.com" qui imite un libellé similaire utilisé par les domaines du helpdesk du monde réel dans les environnements d'entreprise.
L'e-mail imite un message "e-mail de quarantaine" qui est souvent envoyé aux lieux de travail via des produits de sécurité de messagerie et des filtres anti-spam demandant à l'utilisateur de "libérer" les messages bloqués dans la file d'attente.
L'adresse "De:" (enveloppe) dans l'e-mail est répertoriée comme "noreply@servicedesk.com", et bien que les domaines de l'expéditeur puissent être facilement falsifiés, les en-têtes de courrier de cette campagne de phishing indiquent que l'e-mail a été envoyé via ce domaine.
Comme vous pouvez le voir dans les en-têtes des e-mails ci-dessous, les e-mails de phishing sont envoyés via un domaine intermédiaire "cn.trackhawk.pro", mais le domaine d'origine est clairement "servicedesk .com".
Dans la plupart des scénarios de falsification d'e-mails, une incompatibilité entre le domaine de messagerie "De:" et le domaine répertorié dans l'en-tête "Reçu:" le plus bas est un signal d'alarme.
Cette campagne utilise le domaine "servicedesk.com" dans l'adresse "De:" (enveloppe) correspondant au domaine répertorié dans la dernière rubrique "Reçu:", ce qui facilite le contournement des filtres anti-spam. LIEN