Изисква се повторно валидиране на собствеността на домейн - имейл измама

Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често се представят за доверени организации и регулаторни органи, за да създадат фалшиво чувство за неотложност и да окажат натиск върху получателите да вземат прибързани решения. Имейлите „Изисква се повторно валидиране на собствеността на домейн“ са отличен пример за тази тактика. Изследователите по сигурността са идентифицирали тези съобщения като част от фишинг кампания, предназначена да открадне идентификационни данни за имейл акаунти. Важно е да се отбележи, че тези имейли не са свързани с никоя легитимна компания, организация, регистратор на домейни или регулаторен орган.

Прикрито като официално известие за съответствие

Измамните имейли са написани така, че да наподобяват официални известия за съответствие с изискванията за домейн. Получателите са информирани, че собствеността им върху домейна не е била подновена през последните 90 дни и че са необходими действия, за да останат в съответствие с предполагаемите разпоредби. Съобщенията препращат към „ICANN Regulation 3.18“ и предупреждават, че незавършването на процеса на проверка ще доведе до спиране на входящите и изходящите имейл услуги в рамките на седем дни.

Езикът, използван в целия имейл, има за цел да създаде безпокойство и неотложност. Като заплашват с прекъсвания на услугата, измамниците се опитват да убедят получателите да действат незабавно, без да проверяват автентичността на съобщението.

Процесът на фалшиво презаверяване

В центъра на измамата е бутон, обикновено обозначен като „Превалидиране на домейна сега“. Щракването върху този бутон пренасочва потребителите към измамна страница за вход в уеб пощата, маскирана като легитимен портал за имейл услуги.

Фишинг страницата имитира екран за вход в Roundcube Webmail и се хоства чрез платформата Firebase Storage на Google. За да изглежда страницата по-убедителна, имейл адресът на жертвата може вече да е попълнен автоматично. След това потребителите биват инструктирани да въведат паролата си, за да продължат с предполагаемия процес на проверка.

В действителност страницата служи само за една цел: събиране на данни за вход и предаването им директно на нападателите.

Какво се случва, когато пълномощията бъдат откраднати?

Компрометираните имейл акаунти могат да предоставят на киберпрестъпниците достъп до значително количество лична и бизнес информация. Тъй като имейл акаунтите често са свързани с множество онлайн услуги, нападателите могат да използват откраднати идентификационни данни, за да разширят още повече достъпа си.

След като получат контрол над имейл акаунт, престъпниците могат:

• Четете поверителни съобщения и чувствителни комуникации.
• Нулиране на пароли за свързани онлайн акаунти.
• Представяйте се за жертвата в комуникацията си с колеги, клиенти, приятели или членове на семейството.

• Разпространявайте допълнителни фишинг имейли от надежден акаунт.

• Събиране на лична информация за кражба на самоличност или финансови измами.

Тъй като имейл акаунтите често служат като основен метод за възстановяване на други услуги, една компрометирана пощенска кутия може да доведе до поглъщане на множество акаунти.

Защо твърденията са неверни

Няколко индикатора разкриват измамническия характер на тези имейли. Съобщенията се опитват да използват авторитета на Интернет корпорацията за присвоени имена и номера, известна като ICANN, като невярно внушават, че се прилага повторно валидиране на домейн чрез директни имейл известия.

В действителност, ICANN не се свързва с отделни потребители чрез непоискани съобщения, изискващи повторно валидиране на домейна. Освен това, никой легитимен орган за домейни или реномиран доставчик на услуги не изисква от потребителите да проверяват данните си за вход чрез връзка, вградена в неочакван имейл.

Името на подателя, често показвано в тези съобщения, „Global Domain Validation Center“, няма призната връзка с ICANN, акредитирани регистратори или която и да е легитимна организация за управление на домейни. Целият сценарий е изфабрикуван, за да се създаде доверие и да се заблуди получателите.

По-широката заплаха отвъд кражбата на идентификационни данни

Въпреки че основната цел на тази кампания е събирането на идентификационни данни, подобни измамни имейли често се използват и за разпространение на зловреден софтуер. Злонамерените лица обикновено използват атаки, базирани на имейли, за да доставят зловреден софтуер на потенциални жертви.

Имейлите, свързани със зловреден софтуер, могат да включват заразени прикачени файлове или връзки, водещи към злонамерени уебсайтове. Често срещани типове файлове, използвани при тези атаки, включват изпълними файлове, PDF документи, архиви като ZIP или RAR файлове, скриптове и Office документи, съдържащи опасен код. В някои случаи потребителите биват подканени да активират макроси или други функции, които задействат процеса на заразяване.

Повечето инфекции със зловреден софтуер, пренасяни по имейл, изискват някакво ниво на взаимодействие с потребителя, като например отваряне на прикачен файл, стартиране на изтеглен файл, щракване върху злонамерена връзка или активиране на вградено съдържание. Ето защо предпазливостта и проверката остават критични при работа с неочаквани съобщения.

Как да отговорите на тези имейли

Получателите, които получат имейл „Изисква се повторно валидиране на собствеността върху домейн“, трябва да избягват взаимодействие със съобщението по какъвто и да е начин. Не трябва да се кликва върху връзки, не трябва да се отварят прикачени файлове и никога не трябва да се изпраща лична информация чрез страници, до които се стига от непоискани имейли.

Най-безопасният начин на действие е незабавното изтриване на имейла. Лицата, които вече са въвели своите идентификационни данни на фишинг страницата, трябва незабавно да променят паролата си за имейл, да актуализират паролите за всички акаунти, които може да споделят едни и същи идентификационни данни, и да активират многофакторно удостоверяване, където е възможно.

Заключителни мисли

Имейл кампанията „Изисква се повторно валидиране на собствеността на домейн“ е фишинг измама, маскирана като известие за съответствие, свързано с ICANN. Целта ѝ е да подмами получателите да предадат своите идентификационни данни за имейл акаунт чрез измамна страница за вход в уеб поща. Съобщенията разчитат на страх, неотложност и фалшиви регулаторни твърдения, за да манипулират жертвите да действат без надлежна проверка.

Разбирането на това как функционират тези измами е от съществено значение за защитата на чувствителна информация. Като останат скептични към неочаквани заявки, проверяват твърдения чрез официални канали и избягват връзки, съдържащи се в непоискани имейли, потребителите могат значително да намалят риска да станат жертва на кражба на идентификационни данни и други киберзаплахи.