Измама с имейл за актуализация на състоянието на DHL Express Commerce

Изследователи по киберсигурност са анализирали имейлите с актуализация на състоянието на DHL Express Commerce и са установили, че това са фишинг съобщения, предназначени да откраднат потребителските данни за вход. Имейлите се маскират като легитимни известия от DHL Express Commerce и невярно информират получателите, че с тях са споделени три документа.

Съобщенията обикновено пристигат с тема „DHL Express Commerce“ и са внимателно изработени, за да наподобяват известия от платформа за споделяне на документи. За да се увеличи достоверността им, имейлите показват ред, който изглежда като прикачен файл с име „DHL Express Invoice Payment.docx“. Това обаче не е действителен прикачен файл. Вместо това е кликаем елемент, създаден, за да подведе получателите и да ги накара да взаимодействат с имейла.

Според съдържанието на съобщението, системата е открила три документа, които са били споделени с получателя и до които се предполага, че може да бъде осъществен незабавен достъп.

Капанът на портала за фалшиви документи

Измамата разчита на убеждаване на получателите да кликнат или върху фалшивия прикачен файл, или върху бутона „Преглед на документи“. Независимо коя опция е избрана, и двете насочват потребителите към една и съща измамна дестинация.

Свързаната страница се хоства на платформата за съхранение Firebase на Google. Въпреки че Firebase е легитимна услуга за хостинг в облак, киберпрестъпниците често злоупотребяват с реномирани платформи, за да хостват злонамерено съдържание, тъй като такива домейни често изглеждат надеждни и могат да избегнат основните филтри за сигурност.

След като посетителите посетят страницата, им се показва фалшив формуляр за вход в DHL Express, в който се изисква имейл адрес и парола. Въпреки външния си вид, страницата няма връзка с DHL. Всички въведени във формуляра идентификационни данни се предават директно на измамниците, управляващи кампанията.

Защо откраднатите пълномощия са толкова ценни

Данните за вход са сред най-търсените ресурси за киберпрестъпниците. Много хора използват една и съща парола в множество онлайн акаунти, което прави един компрометиран набор от данни изключително ценен.

Когато нападателите получават информация за вход чрез фишинг кампании, те често тестват тези идентификационни данни в различни услуги, включително имейл платформи, сайтове за пазаруване, акаунти за съхранение в облак и социални медийни мрежи. Успешните компрометирания на акаунти могат да доведат до неоторизирани покупки, кражба на самоличност, поглъщане на акаунти, финансови загуби и загуба на достъп до важни онлайн услуги.

Поради тази причина получателите никога не трябва да въвеждат идентификационни данни на уебсайтове, до които са достигнати чрез непоискани имейли, без първо да проверят легитимността на съобщението и местоназначението.

Предупредителни знаци, които разкриват измамата

Няколко индикатора разкриват измамния характер на тези имейли:

• В съобщението се твърди, че документите са били споделени неочаквано и се насърчава незабавното взаимодействие.
• Показаният файл „DHL Express Invoice Payment.docx“ е просто примамка, върху която може да се кликне, а не истински прикачен файл.
• И двата кликаеми елемента водят до една и съща страница за вход, вместо до легитимна услуга за споделяне на документи.
• Уебсайтът изисква имейл идентификационни данни, въпреки че няма легитимна връзка с DHL.
• Комуникацията се опитва да използва репутацията на надеждна марка, за да спечели доверието на получателя.

Потенциална връзка със зловреден софтуер

Фишинг кампаниите не винаги се ограничават до кражба на идентификационни данни. В някои случаи подобни спам имейли се използват и за разпространение на зловреден софтуер.

Киберпрестъпниците често маскират злонамерени файлове като фактури, известия за доставка, потвърждения за плащане, договори или други рутинни бизнес документи. Тези вредни файлове могат да бъдат доставяни като изпълними програми, компресирани архиви, PDF документи, скриптове или файлове на Microsoft Office, съдържащи вграден злонамерен код.

Инфекциите често изискват някаква форма на взаимодействие с потребителя, преди зловредният софтуер да се активира. Отварянето на злонамерен прикачен файл, активирането на макроси, изпълнението на изтеглен файл или щракването върху подвеждаща връзка може да задейства процеса на компрометиране. Проявяването на повишено внимание при работа с непоискани имейли значително намалява вероятността от инфекция.

Как да отговорите, ако получите имейла

Ако този имейл се появи във входящата поща, най-безопасният подход е да се избягва взаимодействие с връзки, бутони или прикачени файлове, съдържащи се в него. Съобщението трябва да бъде изтрито незабавно. Лицата, които вече са подали своите идентификационни данни чрез фалшивата страница за вход, трябва незабавно да променят засегнатите пароли и да актуализират всички други акаунти, които използват същите идентификационни данни. Активирането на многофакторно удостоверяване, където е възможно, може да осигури допълнително ниво на защита срещу неоторизиран достъп.

Окончателна оценка

Имейлът за актуализация на състоянието на DHL Express Commerce е фишинг измама, предназначена да привлече данни за вход, като се представя за DHL Express Commerce. Фалшивият прикачен файл и бутонът „Преглед на документи“ пренасочват потребителите към една и съща измамна страница за вход, хоствана чрез злоупотребена облачна услуга. Тъй като кампанията няма връзка с DHL или която и да е легитимна организация, получателите трябва да третират тези съобщения като злонамерени, да избягват всякакво взаимодействие със съдържанието им и незабавно да ги премахнат от входящите си кутии.