Измама с имейл за сигурен документ за преглед

В днешния пейзаж на заплахите е важно да се остане предпазлив с неочаквани имейли. Киберпрестъпниците рутинно маскират фишинг съобщения като легитимни бизнес комуникации, за да подведат получателите да разкрият чувствителна информация. Имейлът „Защитен документ за преглед“ е един такъв пример. Въпреки професионалния си вид, тази кампания не е свързана с никоя легитимна компания, организация, платформа за споделяне на документи или доставчик на имейл услуги. Единствената ѝ цел е да открадне идентификационни данни за имейл акаунти от нищо неподозиращи потребители.

Зад измамата „Защитен документ за преглед“

Задълбочен анализ на имейлите „Защитен документ за преглед“ потвърди, че те са фишинг съобщения, предназначени за събиране на идентификационни данни за вход. Имейлите се маскират като известия за сигурно споделяне на документи и твърдят, че е подготвен поверителен договорен файл, озаглавен „Contract_Agreement_0035040_ACH_Payment.pdf“, за преглед от получателя.

За да се създаде усещане за неотложност, съобщението посочва, че връзката към документа ще изтече в рамките на 72 часа. Обратното броене е представено като функция за сигурност, насърчаваща получателите да действат бързо, без внимателно да оценяват автентичността на имейла.

Друга тактика, използвана в тези съобщения, е да се инструктира получателите да преместят имейла във входящата си поща, ако е бил филтриран като спам. Този опит да изглеждат надеждни има за цел да намали подозренията и да увеличи вероятността жертвата да взаимодейства със съдържанието.

Порталът за фалшиви защитени документи

Имейлът съдържа бутон или връзка с надпис „Отваряне на документ сигурно“. Вместо да води към легитимна услуга за споделяне на документи, връзката насочва потребителите към измамен уебсайт, хостван на esnad-fls(dot)com.

Уебсайтът се представя фалшиво като защитен портал за удостоверяване на имейли. В много случаи той показва фалшива страница за вход, която много наподобява интерфейса за вход на Google и може да бъде обозначена като „Защитен портал на Gmail“. Посетителите биват подканени да въведат имейл адреса и паролата си, за да получат достъп до предполагаемия документ.

Изследователите са наблюдавали, че фишинг страницата може динамично да променя външния си вид в зависимост от доставчика на имейл услуги на получателя. Потребителите на Gmail може да видят страница за вход с тема на Google, докато потребителите на други имейл услуги могат да бъдат представени с интерфейси, проектирани да наподобяват съответните им доставчици. Тази персонализация помага измамата да изглежда по-убедителна.

Какво се случва след въвеждане на идентификационни данни?

Всяка информация, подадена чрез измамническия формуляр за вход, се предава директно на измамниците. След като нападателите получат достъп до имейл акаунт, те могат да го използват по много начини:

• Достъп до чувствителни имейли и съхранена лична информация.

• Нулирайте паролите за свързани акаунти и услуги.

• Представете се за жертвата в по-нататъшни фишинг кампании.

• Извършвайте кражба на самоличност и други форми на измама.

Важно е да се подчертае, че Google няма връзка с тази операция и уебсайтът, използван в измамата, не е свързан с никоя легитимна имейл услуга или платформа за споделяне на документи.

Предупредителни знаци, които разкриват измамата

Няколко индикатора разкриват измамния характер на тези имейли. Съобщението създава ненужна спешност чрез известие за изтичащ документ, изисква действие чрез непозната външна връзка и насочва получателите към страница за вход, несвързана с никаква легитимна услуга. Изискването за въвеждане на имейл идентификационни данни само за преглед на споделен документ е друг сериозен предупредителен знак.

Потребителите винаги трябва да проверяват подателя, да проверяват внимателно връзките, преди да кликнат върху тях, и да бъдат подозрителни към непоискани известия за споделяне на документи, особено когато те изискват незабавни действия.

Повече от кражба на идентификационни данни: Рискът от зловреден софтуер

Въпреки че тази конкретна кампания се фокусира върху кражба на данни за вход, подобни измамни имейли често се използват за разпространение на зловреден софтуер. Киберпрестъпниците често доставят зловреден софтуер чрез спам имейли, съдържащи заразени прикачени файлове или връзки към опасни уебсайтове.

Често срещаните типове злонамерени файлове включват изпълними програми, компресирани архиви, PDF файлове и документи на Microsoft Office. В някои случаи отварянето на файл може да задейства изпълнението на злонамерен код. В други получателите може да бъдат подканени да активират макроси или да изтеглят допълнително съдържание, което инициира процеса на заразяване.

Вградените във фишинг имейли връзки могат също да пренасочват потребителите към уебсайтове, които автоматично изтеглят зловреден софтуер или ги насърчават да стартират опасни файлове ръчно.

Как да отговорите на тези имейли

Ако във входящата си поща пристигне имейл с текст „Защитен документ за преглед“, най-безопасният начин на действие е прост:

• Не кликвайте върху връзки или бутони, съдържащи се в съобщението.
• Не въвеждайте данни за вход на никоя страница, до която сте достигнали чрез имейла.
• Изтрийте имейла и го маркирайте като фишинг или спам, ако е възможно.
• Променете паролите за акаунти незабавно, ако вече са подадени идентификационни данни.

Окончателна оценка

Имейлът „Защитен документ за преглед“ е фишинг измама, маскирана като известие за споделяне на документи. Той лъжливо твърди, че поверителен договорен документ чака преглед и насочва получателите към фалшива страница за вход, хоствана на esnad-fls(dot)com. Целта е да се откраднат идентификационни данни за имейл акаунт, които след това могат да бъдат използвани за поглъщане на акаунт, кражба на самоличност и други киберпрестъпни дейности. Получателите трябва да избягват взаимодействие с имейла, да се въздържат от кликване върху връзки и да изтрият съобщението незабавно.