Şirketten yapılan açıklamaya göre, yalnızca e-posta içeriğini değil, ekli belgeleri de her alıcıya özel olarak hazırlıyor. Gönderilen e-postalarda sahte bir "doğrulanmış gönderen" rozeti bulunuyor ve uzaktan çalışma kuralları, sosyal yardımlar ile güvenlik standartlarına ilişkin politika güncellemeleri adı altında eklere yönlendirme yapılıyor.
E-postanın gövdesi metin yerine tamamen görsel içerikten oluşuyor. Bu yöntemle saldırganların, güvenlik filtrelerini aşmayı hedeflediği değerlendiriliyor. Ekli dosya ise "Çalışan El Kitabı" başlığıyla sunulmasına rağmen gerçek bir kılavuz içermiyor.
Belgelerde yalnızca bir başlık sayfası, değiştirildiği iddia edilen maddelerin kırmızı renkle vurgulandığı içindekiler bölümü, bir QR kodu ve bu kodun nasıl taranacağına ilişkin genel talimatlara yer veriliyor. Belgenin farklı bölümlerinde alıcının adına defalarca yer verilerek içeriğin kendisine özel hazırlandığı izlenimi oluşturulmaya çalışılıyor.
Hedeflenen kişi QR kodunu taradığında ise kurumsal e-posta kimlik bilgilerini girmesinin istendiği sahte bir internet sayfasına yönlendiriliyor.
Açıklamada görüşlerine yer verilen Kaspersky Anti-Spam Uzmanı Roman Dedenok, tespit ettikleri yöntemin kimlik avı saldırılarında yeni bir gelişmişlik düzeyini gösterdiğini belirtti.
Dedenok, her alıcı için ayrı bir ekli belge ve e-posta gövdesi için ayrı bir resim oluşturan yeni bir posta otomasyon mekanizmasıyla karşılaşmış olabileceklerine dikkati çekerek, "Bu taktik, saldırıyı ölçeklendirmeye ve aynı zamanda geleneksel savunmalardan kaçmaya olanak tanıyor. Kurumlar bu tehditlerin önüne geçmek için gelişmiş güvenlik önlemlerine ve çalışan eğitimine öncelik vermelidir." ifadelerini kullandı.