Kaspersky cho biết, những kẻ tấn công mạng đang khai thác các hình thức, biểu mẫu đăng ký và phản hồi trên các trang web để chèn nội dung, gửi hàng loạt thư rác và liên kết lừa đảo từ các email đáng tin cậy trên phạm vi toàn cầu.
Đặc biệt, thủ phạm sẽ soạn thảo những lá thư dường như có nguồn gốc từ những nguồn hợp pháp, có uy tín để người dùng không né tránh và bỏ qua email không mong muốn. Đây là một thách thức lớn cho các công ty, vì thư rác không mong muốn hoặc thậm chí những nội dung độc hại, được gửi thay cho email của người dùng, có thể làm mất lòng tin của khách hàng, thậm chí dẫn đến rò rỉ dữ liệu cá nhân.
Hãng Kaspersky cho rằng, phương pháp này tương đối đơn giản và rất hiệu quả. Phần lớn các công ty hiện nay đều quan tâm đến việc sẽ nhận phản hồi từ khách hàng của mình để cải thiện chất lượng dịch vụ, giữ chân khách hàng và giữ uy tín. Do đó, các công ty có xu hướng yêu cầu khách hàng đăng ký tài khoản cá nhân, đăng ký nhận bản tin hoặc liên lạc thông qua các các mẫu phản hồi trên trang web. Đây chính là những con đường, cơ chế mà những kẻ tấn công hiện đang khai thác.
Tất cả các cơ chế đều yêu cầu tên và địa chỉ email của khách hàng. Vì vậy, họ có thể nhận được một email xác nhận hoặc phản hồi. Theo các nhà nghiên cứu của Kaspersky, những kẻ lừa đảo đang bổ sung thêm nội dung độc hại và liên kết lừa đảo vào những thư này. Các đối tượng này chỉ cần thêm địa chỉ email của nạn nhân vào biểu mẫu đăng ký và nhập mã độc thay cho tên của người dùng. Sau đó, trang web sẽ gửi thư xác nhận đã sửa đổi tên địa chỉ và có chứa một liên kết quảng cáo, những liên kết lừa đảo ở đầu văn bản thay cho tên của người nhận.
Ông Maria Vergelis, chuyên gia bảo mật tại Kaspersky cho biết, phần lớn các chữ cái được sửa đổi này được liên kết với các khảo sát trực tuyến được thiết kế để lấy dữ liệu cá nhân khi người dùng truy cập. Thông báo từ một nguồn đáng tin cậy thường dễ dàng đi qua các bộ lọc nội dung, vì chúng là những tin nhắn chính thức từ một công ty có uy tín. Đây là lý do tại sao phương thức gửi hàng loạt email đến nhiều người, những email đó có thể không có ý nghĩa, hoặc mang tính chất quảng cáo, mà không được sự cho phép của người nhận và không có mong muốn nhận được những email như này.