CPanel - Измама с необходимост от актуализация на уеб пощата

Изследователи по сигурността са проучили съобщенията „cPanel — Webmail Update Required“ и са стигнали до заключението, че това са измамни фишинг имейли, а не легитимни известия от cPanel, LLC. Съобщенията са създадени така, че да изглеждат като официални известия за актуализация на Webmail, но истинската им цел е да събират имейл идентификационни данни и други чувствителни данни. Тези спам кампании не са свързани с никоя легитимна компания, организация или доставчик на услуги.

Какво се преструва, че е посланието

Имейлът обикновено се представя за важна актуализация на услугата, предназначена да подобри производителността и сигурността на уеб пощата. На получателите се казва, че трябва да актуализират настройките на акаунта си в рамките на кратък период (обикновено „24 часа“), за да избегнат прекъсване на услугата. За да се подчертае неотложността, съобщението включва виден бутон или връзка за актуализиране, която насочва получателите към фалшива страница за вход. Посоченият краен срок и официално звучащият език са трикове за социално инженерство, предназначени да подтикнат жертвите да действат, без да проверяват съобщението.

Как работи фишингът

Когато жертва кликне върху връзката и изпрати идентификационни данни на фалшивата страница за вход, тези данни се заснемат и препращат на нападателите. С достъп до имейл акаунт, престъпниците могат: да търсят лична или финансова информация в съобщения, да нулират пароли в други услуги, да се представят за собственика на акаунта или да изпращат злонамерени имейли до контактите на жертвата. Корпоративните пощенски кутии са особено ценни, защото компрометирането им може да осигури достъп до фирмена мрежа и да улесни разпространението на зловреден софтуер, като троянски коне или ransomware.

Потенциални последици

• Неоторизиран достъп до имейл, социални медии, банкиране, електронна търговия или платформи за сътрудничество.
• Кражба на самоличност, измамни транзакции или искания за пари, изпратени до контактите на жертвата.
• Разпространение на зловреден софтуер и по-нататъшен фишинг чрез съобщения от компрометирания акаунт.

Спам кампаниите често разпространяват зловреден софтуер

Освен кражба на идентификационни данни, тези кампании често разпространяват директно зловреден софтуер. Злонамерените съобщения могат да съдържат прикачени файлове или връзки, които инсталират зловреден софтуер при отваряне или изпълнение. Често срещани носители на зловреден софтуер включват документи и файлове, които изглеждат безобидни, но съдържат активно съдържание:

Често срещани формати на злонамерените файлове включват:

• Файлове на Office (Word, Excel) или документи на OneNote, които изискват активиране на макроси или щракване върху вградени връзки.
• Изпълними файлове (.exe, .run), компресирани архиви (ZIP, RAR), JavaScript файлове или PDF файлове, които експлоатират уязвимости на четеца.

Тъй като някои формати изискват допълнителни действия от потребителя (например, активиране на макроси), нападателите измислят убедителни инструкции (напр. „активирайте съдържанието, за да видите актуализацията“), за да подведат жертвите да разрешат инфекцията.

Как да разпознаете фалшиви известия

Имейлите, които изискват незабавни действия, включват граматически грешки или необичайни адреси на податели, или ви пренасочват към страница за вход, до която се стига чрез вградена връзка, са високорискови. Наличието на общ поздрав, несъответстващи имена на домейни или URL адреси, които не съответстват на официалния домейн на компанията, е допълнителен индикатор. Легитимните доставчици рядко изискват да въвеждате отново идентификационни данни чрез връзка в имейл; когато се съмнявате, отидете директно на официалния уебсайт на доставчика, вместо да следвате връзката.

Стъпки, които да следвате, ако сте компрометирани

Променете паролата за компрометирания имейл акаунт и за всички други акаунти, които са използвали същата или подобна парола. Използвайте силни, уникални пароли и активирайте многофакторно удостоверяване, където е възможно.

Свържете се с официалните канали за поддръжка на засегнатите услуги, за да съобщите за пробива и да следвате техните указания за възстановяване на акаунта. Също така, информирайте контактите, ако измамници са изпращали съобщения от вашия адрес.

Сканирайте устройствата за злонамерен софтуер, използвайки надеждни инструменти за сигурност, и изолирайте всички заразени системи от мрежите, докато бъдат почистени. Следете финансовите сметки и обмислете поставянето на сигнали за измами, ако са били разкрити чувствителни финансови или лични данни.

Заключителни бележки

Измамата „cPanel — Webmail Update Required“ съчетава правдоподобен технически език с неотложност, за да създаде убедителен капан. Тъй като откраднатите имейл акаунти могат да бъдат използвани за мащабни измами, кражба на данни и кампании със зловреден софтуер, е важно да се отнасяте скептично към всяко неочаквано съобщение за актуализация на акаунт. Когато видите такъв имейл, не следвайте вградени връзки и не отваряйте ненадеждни прикачени файлове — вместо това проверете чрез официалния уебсайт или екипа за поддръжка на доставчика.