Artinya, korban merespons ke alamat berbeda, yang mungkin terletak di domain gratis lain, seperti outlook.com.
Alamat di header “Reply-to” tidak digunakan untuk spam, dan korespondensi dimulai oleh korban, sehingga kecil kemungkinannya untuk diblokir.
Setelah korban menanggapi email pertama, penyerang mengirimkan pesan baru, meminta mereka pergi ke situs berbagi file (file-sharing) dan tertaut file PDF dengan pesanan yang sudah selesai, yang dapat ditemukan melalui tautan.
Dengan mengeklik tautan, pengguna dibawa ke situs palsu yang dibuat oleh kit phishing terkenal. Ini adalah alat cukup sederhana yang menghasilkan halaman phishing untuk mencuri kredensial dari sumber daya tertentu.
Situs phishing akan meniru halaman Dropbox dengan gambar file statis dan tombol unduh. Setelah mengeklik salah satu elemen antarmuka, pengguna dibawa ke halaman login Dropbox palsu yang meminta kredensial perusahaan yang valid.
Saat korban mencoba masuk, nama pengguna dan kata sandi mereka dikirim ke https://pbkvklqksxtdrfqkbkhszgkfjntdrf[.]herokuapp[.]com/send-mail. Di sinilah semua data yang bersifat sensitif bakal dirampas habis oleh para hacker.
Kaspersky mencatat modus phising ini tersebar di seluruh dunia, termasuk negara-negara seperti Rusia, Bosnia dan Herzegovina, Singapura, AS, Jerman, Mesir, Thailand, Turki, Serbia, Belanda, Yordania, Iran, Kazakhstan, Portugal, dan Malaysia.