Estafa per correu electrònic d'actualització de l'estat de DHL Express Commerce

Investigadors de ciberseguretat han analitzat els correus electrònics d'actualització d'estat de DHL Express Commerce i han determinat que són missatges de phishing dissenyats per robar les credencials d'inici de sessió dels usuaris. Els correus electrònics es fan passar per notificacions legítimes de DHL Express Commerce i informen falsament als destinataris que s'han compartit tres documents amb ells.

Els missatges solen arribar amb l'assumpte "DHL Express Commerce" i estan acuradament elaborats per semblar-se a les notificacions d'una plataforma per compartir documents. Per augmentar la seva credibilitat, els correus electrònics mostren una línia que sembla un fitxer adjunt anomenat "DHL Express Invoice Payment.docx". Tanmateix, no es tracta d'un fitxer adjunt real. En canvi, és un element en què es pot fer clic creat per enganyar els destinataris perquè interactuïn amb el correu electrònic.

Segons el contingut del missatge, el sistema ha detectat tres documents que s'han compartit amb el destinatari i als quals suposadament es pot accedir immediatament.

La trampa del portal de documents falsos

L'estafa es basa en convèncer els destinataris perquè facin clic al fitxer adjunt falsificat o al botó "Veure documents". Independentment de l'opció seleccionada, ambdues dirigeixen els usuaris a la mateixa destinació fraudulenta.

La pàgina enllaçada està allotjada a la plataforma Firebase Storage de Google. Tot i que Firebase és un servei d'allotjament al núvol legítim, els ciberdelinqüents sovint abusen de plataformes de bona reputació per allotjar contingut maliciós, ja que aquests dominis sovint semblen fiables i poden evadir els filtres de seguretat bàsics.

Un cop els visitants arriben a la pàgina, se'ls presenta un formulari d'inici de sessió fals de DHL Express que sol·licita una adreça de correu electrònic i una contrasenya. Malgrat la seva aparença, la pàgina no té cap connexió amb DHL. Les credencials introduïdes al formulari es transmeten directament als estafadors que operen la campanya.

Per què les credencials robades són tan valuoses

Les credencials d'inici de sessió es troben entre els actius més buscats pels ciberdelinqüents. Moltes persones reutilitzen la mateixa contrasenya en diversos comptes en línia, cosa que fa que un únic conjunt de credencials compromès sigui molt valuós.

Quan els atacants obtenen informació d'inici de sessió a través de campanyes de phishing, sovint proven aquestes credencials en diversos serveis, com ara plataformes de correu electrònic, llocs de compres, comptes d'emmagatzematge al núvol i xarxes socials. Els compromisos reeixits dels comptes poden provocar compres no autoritzades, robatori d'identitat, abús de control de comptes, pèrdues financeres i la pèrdua d'accés a serveis en línia importants.

Per aquest motiu, els destinataris no haurien d'introduir mai les credencials en llocs web als quals s'arriba a través de correus electrònics no sol·licitats sense verificar primer la legitimitat del missatge i la destinació.

Senyals d’alerta que revelen l’estafa

Diversos indicadors posen de manifest la naturalesa fraudulenta d'aquests correus electrònics:

• El missatge afirma que els documents s'han compartit inesperadament i fomenta la interacció immediata.
• El fitxer "DHL Express Invoice Payment.docx" que es mostra és simplement un esquer clicable en lloc d'un fitxer adjunt genuí.
• Tots dos elements clicables porten a la mateixa pàgina d'inici de sessió en comptes d'un servei legítim per compartir documents.
• El lloc web sol·licita credencials de correu electrònic tot i no tenir cap connexió legítima amb DHL.
• La comunicació intenta aprofitar la reputació d'una marca de confiança per guanyar-se la confiança del receptor.

La possible connexió de programari maliciós

Les campanyes de phishing no sempre es limiten al robatori de credencials. En alguns casos, també s'utilitzen correus electrònics brossa similars per distribuir programari maliciós.

Els ciberdelinqüents solen disfressar fitxers maliciosos com a factures, notificacions d'enviament, confirmacions de pagament, contractes o altres documents comercials rutinaris. Aquests fitxers nocius poden arribar com a programes executables, arxius comprimits, documents PDF, scripts o fitxers de Microsoft Office que contenen codi maliciós incrustat.

Les infeccions sovint requereixen algun tipus d'interacció de l'usuari abans que s'activi el programari maliciós. Obrir un fitxer adjunt maliciós, habilitar macros, executar un fitxer descarregat o fer clic en un enllaç enganyós pot desencadenar el procés de compromís. Tenir precaució a l'hora de gestionar correus electrònics no sol·licitats redueix significativament la probabilitat d'infecció.

Com respondre si rebeu el correu electrònic

Si aquest correu electrònic apareix a una safata d'entrada, la manera més segura és evitar interactuar amb els enllaços, botons o fitxers adjunts que contingui. El missatge s'ha de suprimir immediatament. Les persones que ja hagin enviat les seves credencials a través de la pàgina d'inici de sessió falsa haurien de canviar les contrasenyes afectades sense demora i actualitzar qualsevol altre compte que utilitzi les mateixes credencials. Habilitar l'autenticació multifactor sempre que sigui possible pot proporcionar una capa addicional de protecció contra l'accés no autoritzat.

Avaluació final

El correu electrònic d'actualització d'estat de DHL Express Commerce és una estafa de phishing dissenyada per obtenir credencials d'inici de sessió fent-se passar per DHL Express Commerce. La línia de fitxers adjunts falsa i el botó "Veure documents" redirigeixen els usuaris a la mateixa pàgina d'inici de sessió fraudulenta allotjada a través d'un servei al núvol utilitzat de manera abusiva. Com que la campanya no té cap afiliació amb DHL ni amb cap organització legítima, els destinataris han de tractar aquests missatges com a maliciosos, evitar tota interacció amb el seu contingut i eliminar-los immediatament de les seves safates d'entrada.