En ny våg av falska digitala inbjudningar kapar hela e-postkonton och sprider bluffen vidare till kontaktlistan.
Attacken har eskalerat under försommaren och drabbar användare av Gmail, Outlook och andra vanliga e-posttjänster. Amerikanska konsumentmyndigheten Federal Trade Commission gick ut med en officiell varning i slutet av maj, och nya rapporter från den 8 juli visar att metoden fortsätter att spridas snabbt.
Bedrägerierna imiterar kända inbjudningsplattformar som Evite, Paperless Post och Punchbowl. Inbjudan ser ofta ut att komma från en vän, en kollega eller en granne, och först när mottagaren klickar avslöjas fällan: en falsk inloggningssida ber om e-post och lösenord.
Så fungerar attacken
När offret matar in sina uppgifter tar bedragarna över hela e-postkontot. Därifrån skickas samma falska inbjudan vidare till hela kontaktlistan, och bluffen fortplantar sig i ett nätverk där misstänksamheten redan är låg.
En kvinna vid namn Alexis Moser förlorade 5 500 dollar efter att ha loggat in via en falsk inbjudan. Bedragarna hann både passera hennes tvåfaktorsautentisering och komma in på hennes bankkonto, rapporterar ABC7 News. Ett annat offer, Alyssa Williamson, upptäckte inte att hon var kapad förrän vänner började höra av sig om inbjudningar som hon aldrig hade skickat.
Tre tecken att hålla utkik efter
Evites egna säkerhetsriktlinjer listar konkreta signaler som avslöjar bluffen:
Avsändaradressen. Riktiga inbjudningar från Evite skickas endast från domänen evite.com. Om avsändaren använder en gmail.com-, yahoo.com- eller hotmail.com-adress rör det sig med största sannolikhet om ett bedrägeri, enligt Evite.
Länken bakom knappen. Håll muspekaren över länken utan att klicka. Om huvuddomänen inte är evite.com eller evite.me ska mejlet behandlas som ett bedrägeriförsök.
Lösenordsförfrågan. Ingen seriös inbjudningsplattform ber om ditt e-postlösenord för att öppna ett inbjudningskort. Samma sak gäller telefonnummer och sms-koder som du uppmanas dela för att bekräfta ditt deltagande.
Om du redan klickat
Skulle du misstänka att ditt konto har kapats gäller det att agera snabbt. FTC rekommenderar att man omedelbart byter lösenord, aktiverar tvåfaktorsautentisering och kör en antivirussökning, skriver KJCT8. Rensa också webbläsarens cookies och cache, och varna dina kontakter så att de inte klickar på ett meddelande som ser ut att komma från dig.
Sommaren är högsäsong för fester, kalas och grillkvällar, och det är precis den timingen som gör bluffen så farlig just nu. När en inbjudan dyker upp från en gammal vän är misstänksamheten låg, och det är den mekanismen bedragarna räknar med.