Измама с имейл за потвърждение от SWIFT

Бдението при работа с неочаквани имейли е от съществено значение в днешния пейзаж на заплахите. Киберпрестъпниците често маскират злонамерени съобщения като важни бизнес комуникации, за да създадат фалшиво усещане за неотложност и доверие. Един пример е имейл измамата „SWIFT Confirmation Copy“ - фишинг кампания, предназначена да открадне идентификационни данни за имейл акаунти. Тези имейли не са свързани с никоя легитимна банка, компания, организация, финансова институция или доставчик на имейл услуги, въпреки че външният вид предполага друго.

Обяснение на измамата с копие за потвърждение от SWIFT

Измамата с копие на потвърждение от SWIFT е фишинг операция, която се опитва да подмами получателите да повярват, че са получили потвърждение за банков превод, изискващо преглед. Имейлът обикновено пристига с тревожна и несвързана тема относно затварянето на пощенската кутия, което създава неотложност и насърчава получателите да отворят съобщението.

В имейла получателят е информиран, че мениджърът по покупките е прикачил копие от SWIFT потвърждение за завършено плащане с банков превод. В съобщението се твърди, че е наличен PDF файл с име „Бланк за банков превод“ и получателят е подканен да го получи чрез предоставените бутони „Изтегляне на PDF“ или „Преглед на PDF“.

Въпреки това, няма приложено легитимно потвърждение за плащане. Цялото съобщение е внимателно изработена примамка, предназначена да насочи жертвите към уебсайт за събиране на идентификационни данни.

Зад бутоните за изтегляне: Капан за кражба на идентификационни данни

Вградените в имейла връзки не отварят документ за плащане. Вместо това те пренасочват потребителите към измамна уеб страница, предназначена да открадне данни за вход.

При посещение на сайта, на потребителите се показва подкана за влизане под заглавието „Leading with Security“ (Водещи със сигурност). Страницата невярно твърди, че е необходимо удостоверяване, преди да се види защитеният документ. След това жертвите биват помолени да въведат своя имейл адрес и парола.

Уебсайтът е проектиран да открива доставчика на имейл услуги на получателя и да показва убедителна имитация на съответната страница за вход. Независимо дали потребителят разчита на Gmail, Yahoo Mail, Outlook или друга имейл услуга, страницата за измама адаптира външния си вид, за да наподобява интерфейса за вход на легитимния доставчик. Тази тактика увеличава вероятността жертвите да се доверят на страницата и да изпратят своите идентификационни данни.

Как измамата създава фалшиво чувство за легитимност

Един особено подвеждащ аспект на тази кампания е използването на персонализирана информация в злонамерения URL адрес. Уеб адресът може да съдържа параметри, които изглежда включват имейл адреса на получателя. Тази информация може да се използва за автоматично попълване на полетата за вход, което прави страницата да изглежда по-автентична и съобразена с потребителя.

В комбинация с познато брандиране и реалистично изглеждащи екрани за вход, тази персонализация може да направи фишинг страницата да изглежда легитимна на пръв поглед. Въпреки това, показаните страници са фалшиви, независимо колко много приличат на истински портали за вход.

Подписът на мениджъра по покупките, данните за контакт и всички имена, включени в съобщението, са измислени елементи, предназначени единствено да увеличат доверието. Не трябва да им се доверявате или да се свързвате с тях.

Рисковете от въвеждането на пълномощия

Изпращането на данни за вход на измамната страница може да има сериозни последици. След като нападателите получат достъп до имейл акаунт, те могат да се опитат да:

Нулирайте паролите за банкиране, пазаруване, социални медии и други онлайн услуги, свързани с компрометирания имейл адрес.
Извършване на кражба на самоличност, достъп до чувствителна комуникация, разпространение на допълнителни фишинг съобщения или извършване на финансови измами, използвайки акаунтите на жертвата.

Тъй като имейл акаунтите често служат като централен център за възстановяване на пароли и проверка на акаунти, една компрометирана пощенска кутия може да доведе до поглъщане на множество акаунти за кратък период от време.

Потенциални заплахи от зловреден софтуер

Въпреки че основната цел на измамата с копие на потвърждение от SWIFT е кражба на идентификационни данни, подобни фишинг кампании често се използват за разпространение на зловреден софтуер.

Киберпрестъпниците често прикачват злонамерени файлове, маскирани като легитимни документи. Тези файлове могат да бъдат изпълними програми, Office документи, PDF файлове, компресирани архиви или скриптови файлове. В някои случаи отварянето на файла или активирането на функции като макроси инициира инсталирането на зловреден софтуер.

Други фишинг имейли разчитат на злонамерени връзки, а не на прикачени файлове. Кликването върху тези връзки може да задейства автоматични изтегляния или да насочи жертвите към страници, които ги насърчават да изтеглят и изпълняват вреден софтуер. В повечето ситуации инфекциите със зловреден софтуер изискват някаква форма на взаимодействие с потребителя преди активиране.

Предупредителни знаци, за които да следите

Няколко индикатора могат да помогнат за идентифицирането на тази измама:

• Темата на имейла не съответства на съдържанието на съобщението.
• Неочаквани известия относно банкови преводи или плащания, които никога не са били очаквани.
• Натиск за незабавно преглеждане на документите.
• Изисква въвеждане на имейл идентификационни данни за достъп до предполагаем прикачен файл.
• Страници за вход, които се появяват след щракване върху бутони, свързани с документи.

• Обща информация за подателя или подозрителни данни за контакт.

Защита от фишинг атаки

Ако бъде получен имейл с копие за потвърждение на SWIFT, той трябва да бъде игнориран и изтрит. Получателите трябва да избягват кликване върху връзки, изтегляне на файлове или въвеждане на идентификационни данни на уебсайтове, до които са достигнати чрез съобщението. Ако идентификационните данни вече са подадени, засегнатата парола трябва да бъде променена незабавно и двуфакторното удостоверяване трябва да бъде активирано, когато е възможно.

Заключителни мисли

Измамата с копие за потвърждение на SWIFT е фишинг кампания, маскирана като известие за потвърждение на банков превод. Използвайки фалшиви документи, свързани с плащането, и фалшиви страници за вход, имитиращи популярни доставчици на имейл услуги, нападателите се опитват да откраднат ценни идентификационни данни за акаунти. Измамата няма връзка с никоя легитимна финансова институция, доставчик на имейл услуги или бизнес субект. Проявяването на повишено внимание с неочаквани имейли, независимата проверка на заявките и избягването на подозрителни връзки остават едни от най-ефективните начини за предотвратяване на компрометиране на акаунти, финансови загуби и кражба на самоличност.