Hackerne anvender links til trojanere gennem spear-phishing, som har været rettet mod menneskerettighedsaktivister, ytringsfrihedsforkæmpere, akademikere og advokater i Indien siden 2012.
De ondsindede e-mails lokker brugeren til at installere keyloggere og trojanske heste med remote egenskaber, eksempelvis NetWire og DarkComet og endda Android-malware.
Hvert fjerde password som svindlere får fat i ved hjælp af phishing, kan bruges til at få adgang til offerets brugerkonto. For data fra datalækager er andelen under syv procent.
Det fremgår af en analyse, som sikkerhedsforskere fra Google, University of California, Berkeley og International Computer Science Institute har gennemført. Forskerne har set på data om brugernavne og passwords, som kriminelle har haft adgang til fra marts 2016 til marts 2017.
Center for Cybersikkerhed beskriver angrebene i undersøgelsesrapporten "Outsourcing – hvem har ansvaret?" Offentlige myndigheder er kunder hos de ramte hosting-firmaer.
Det ene firma blev angrebet via en webside, der lå på dets servere. Angriberne har sandsynligvis udnyttet en sårbarhed på websiden til at installere en bagdør. Igennem bagdøren kunne de så installere skadelig software på selve serveren.
Center for Cybersikkerhed vurderer, at en statslig eller statsstøttet aktør står bag angrebet.