Имейлът за възстановяване беше променен - измама с имейл
Бдителността е от съществено значение при работа с неочаквани имейли, особено с тези, които твърдят, че има проблем с онлайн акаунт. Киберпрестъпниците често се представят за надеждни услуги, за да създадат усещане за неотложност и да окажат натиск върху получателите да действат, без да проверяват легитимността на съобщението. Имейлът „Имейлът за възстановяване беше променен“ е една такава фишинг измама, предназначена да открадне чувствителни данни за вход. Важно е да се отбележи, че тези имейли не са свързани с никоя легитимна компания, организация, доставчик на имейл или уеб поща.
Съдържание
Измама с промяна на имейл адреса за възстановяване: Общ преглед
Имейл кампанията „Имейл адресът за възстановяване беше променен“ се маскира като известие за сигурност от доставчик на уеб поща. Основната ѝ цел е да убеди получателите, че сигурността на акаунта им е компрометирана и че са необходими незабавни действия.
Обикновено имейлът пристига с тема „Риск за сигурността: Променени данни за възстановяване“ и информира получателя, че имейл адресът за възстановяване, свързан с акаунта му, е бил наскоро променен. За да изглежда предупреждението автентично, съобщението включва ясно видим бутон „Проверка на активността“ и твърди, че произхожда от компания, наречена „Webmail LLC“.
Въпреки убедителния си външен вид, цялото известие е измамно. Името на организацията, брандирането и предупреждението за сигурност са изфабрикувани единствено, за да подведат получателите да разкрият своите идентификационни данни за акаунта.
Как функционира измамата
Атаката разчита на техники за социално инженерство, които експлоатират страха и неотложността. Получателите са подведени да повярват, че в акаунта им са направени неоторизирани промени, което ги подтиква да кликнат върху предоставения бутон, за да разследват предполагаемия инцидент със сигурността.
Вместо да насочва потребителите към легитимен портал за вход, връзката води към подвеждаща уеб страница, хоствана на eu2.contabostorage.com, платформа за съхранение в облак, която е била злоупотребявана за разпространение на фишинг съдържание. Страницата показва фалшив формуляр за вход, поставен върху реалистично изглеждащ интерфейс на Gmail или друг дизайн с тематика за доставчик на имейл услуги.
Данните сочат, че фишинг страницата може динамично да адаптира външния си вид въз основа на имейл адреса на получателя. URL адресът изглежда съдържа кодирана информация за целта, което позволява на страницата да представя брандиране, съответстващо на доставчика на имейл услуги на жертвата, като по този начин повишава нейната надеждност.
Истинската опасност зад фалшивата страница за вход
Измамническата страница изисква имейл адреса и паролата на посетителя под претекст, че потвърждава собствеността на акаунта. Всяка информация, въведена във формуляра, се предава директно на измамниците.
След като киберпрестъпниците получат достъп до имейл акаунт, последствията могат да бъдат тежки. Имейл акаунтите често служат като портали към множество онлайн услуги, което ги прави изключително ценни цели. Нападателите могат да използват компрометирани акаунти, за да:
- Нулиране на пароли за свързани услуги и акаунти в социалните медии
- Кражба на лична информация, финансови данни и чувствителни комуникации
- Извършване на схеми за кражба на самоличност и представяне за друг човек
- Изпращайте фишинг имейли до приятели, членове на семейството и бизнес контакти
- Получете достъп до облачно хранилище, банкови платформи или други свързани акаунти
Тъй като имейл акаунтите често съдържат години лична и професионална кореспонденция, успешното компрометиране може да доведе до значителни щети за поверителността и финансови проблеми.
Фалшиво брандиране и подвеждащи твърдения
Един от най-забележителните аспекти на тази кампания е злоупотребата с разпознаваема марка, свързана с уеб пощата. Имейлът се опитва да създаде легитимност, като се представя като официално предупреждение за сигурност от доверен доставчик.
Нито Google, нито Gmail обаче имат връзка с тази кампания. По същия начин, предполагаемият подател „Webmail LLC“ е просто измислена самоличност, създадена в подкрепа на измамата. Легитимните доставчици на имейл услуги не използват подвеждащи страници за вход на трети страни, за да проверяват активността в акаунта след предупреждения за сигурност.
Потенциални рискове от зловреден софтуер
Въпреки че основната цел на тази кампания е кражба на идентификационни данни, фишинг операциите често са свързани и с разпространение на зловреден софтуер. Киберпрестъпниците обикновено използват измамни имейли, за да разпространяват зловреден софтуер чрез прикачени файлове или вредни връзки.
Зловредният софтуер може да бъде скрит в изпълними файлове, PDF документи, файлове на Microsoft Office, компресирани архиви, скриптове или други файлови формати. В много случаи процесът на заразяване започва едва след като жертвата отвори прикачен файл, активира злонамерени макроси или изтегли и изпълни файл от свързан уебсайт.
Някои фишинг страници могат дори да насърчават посетителите да инсталират софтуер, уж необходим за целите на проверката или сигурността. Следването на подобни инструкции може да доведе до инфекции със зловреден софтуер, които допълнително компрометират устройството и данните на жертвата.
Предупредителни знаци, които разкриват измамата
Няколко индикатора разкриват измамния характер на имейла „Променен имейл адрес за възстановяване“. Съобщението създава ненужна спешност, твърди, че са настъпили критични промени в акаунта и насочва потребителите към непознат външен уебсайт, вместо към официален портал за управление на акаунти. Освен това, използването на измислено име на фирма и страница за вход, хоствана в услуга за съхранение в облак, а не в официален домейн, са основни предупредителни знаци.
Потребителите винаги трябва да проверяват известията за сигурност, като отварят уебсайта на своя доставчик на имейл услуги директно през браузър, вместо да кликват върху връзки, съдържащи се в неочаквани имейли.
Как да се защитите
Ако бъде получен такъв имейл, той трябва да бъде игнориран и изтрит. Получателите трябва да избягват кликване върху връзки, отваряне на прикачени файлове или въвеждане на идентификационни данни в уебсайтове, до които са достигнати чрез непоискани съобщения. Всеки, който вече е подал своята информация за вход, трябва незабавно да промени паролата си, да активира многофакторно удостоверяване, където е възможно, и да прегледа активността в акаунта за признаци на неоторизиран достъп.
Заключителни мисли
Имейлът „Променен имейл адрес за възстановяване“ е фишинг измама, маскирана като известие за сигурност на уеб пощата. Като твърдят невярно, че имейл адресът за възстановяване е променен, нападателите се опитват да примамят получателите към фалшива страница за вход, където техните идентификационни данни могат да бъдат откраднати. Тъй като кампанията няма връзка с легитимен доставчик на имейл услуги, най-безопасният отговор е да се избягва изцяло взаимодействието със съобщението и да се провери сигурността на акаунта само чрез официални канали.
System Messages
The following system messages may be associated with Имейлът за възстановяване беше променен - измама с имейл:
Subject: Security Risk: Recovery details changed. |
