Vyžadováno obnovení ověření vlastnictví domény – podvod s e-maily

S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně. Kyberzločinci se často vydávají za důvěryhodné organizace a regulační orgány, aby vytvořili falešný pocit naléhavosti a tlačili na příjemce, aby činili ukvapená rozhodnutí. E-maily s textem „Vyžadováno opětovné ověření vlastnictví domény“ jsou ukázkovým příkladem této taktiky. Bezpečnostní výzkumníci identifikovali tyto zprávy jako součást phishingové kampaně, jejímž cílem je odcizit přihlašovací údaje k e-mailovým účtům. Důležité je, že tyto e-maily nejsou spojeny s žádnou legitimní společností, organizací, registrátorem domén ani regulačním orgánem.

Maskované jako oficiální oznámení o shodě s předpisy

Podvodné e-maily jsou vytvořeny tak, aby připomínaly oficiální oznámení o shodě s předpisy pro domény. Příjemci jsou informováni, že vlastnictví jejich domény nebylo v posledních 90 dnech obnoveno a že je nutné podniknout kroky k zachování souladu s údajnými předpisy. Zprávy odkazují na „předpis ICANN 3.18“ a varují, že pokud proces ověření nebude dokončen, bude do sedmi dnů pozastavena služba příchozí i odchozí e-mailové služby.

Jazyk použitý v celém e-mailu má za cíl vyvolat obavy a naléhavost. Podvodníci se snaží přesvědčit příjemce, aby jednali okamžitě, aniž by ověřili pravost zprávy, vyhrožováním přerušením služby.

Proces falešné revalidace

Ústředním bodem podvodu je tlačítko, které je obvykle označeno jako „Znovu ověřit doménu“. Kliknutím na toto tlačítko jsou uživatelé přesměrováni na podvodnou přihlašovací stránku webové pošty, která se maskuje jako legitimní portál e-mailové služby.

Phishingová stránka napodobuje přihlašovací obrazovku Roundcube Webmail a je hostována prostřednictvím platformy Firebase Storage od Googlu. Aby stránka působila přesvědčivěji, může být e-mailová adresa oběti již automaticky vyplněna. Uživatelé jsou poté vyzváni k zadání hesla, aby mohli pokračovat v údajném ověřovacím procesu.

Ve skutečnosti stránka slouží pouze jednomu účelu: shromažďování přihlašovacích údajů a jejich přímému přenosu útočníkům.

Co se stane, když jsou přihlašovací údaje ukradeny?

Napadené e-mailové účty mohou kyberzločincům poskytnout přístup k velkému množství osobních a obchodních informací. Vzhledem k tomu, že e-mailové účty jsou často propojeny s řadou online služeb, mohou útočníci využít ukradené přihlašovací údaje k dalšímu rozšíření svého přístupu.

Jakmile zločinci získají kontrolu nad e-mailovým účtem, mohou:

• Čtěte důvěrné zprávy a citlivou komunikaci.
• Obnovte hesla pro propojené online účty.

Protože e-mailové účty často slouží jako primární metoda obnovy pro jiné služby, může jedna napadená poštovní schránka vést k převzetí více účtů.

Proč jsou tvrzení nepravdivá

Několik ukazatelů odhaluje podvodnou povahu těchto e-mailů. Zprávy se pokoušejí zneužít autoritu Internetové korporace pro přidělená jména a čísla, běžně známé jako ICANN, tím, že falešně naznačují, že je vynucováno opětovné ověření domény prostřednictvím přímých e-mailových oznámení.

Ve skutečnosti ICANN nekontaktuje jednotlivé uživatele prostřednictvím nevyžádaných zpráv požadujících opětovné ověření domény. Navíc žádná legitimní doménová autorita ani renomovaný poskytovatel služeb nevyžaduje, aby uživatelé ověřovali přihlašovací údaje prostřednictvím odkazu vloženého do neočekávaného e-mailu.

Jméno odesílatele, které se v těchto zprávách často zobrazuje, „Globální centrum pro ověřování domén“, nemá žádné uznané spojení s ICANN, akreditovanými registrátory ani s žádnou legitimní organizací pro správu domén. Celý scénář je vykonstruován tak, aby vytvořil důvěryhodnost a oklamal příjemce.

Širší hrozba nad rámec krádeže přihlašovacích údajů

I když je primárním cílem této kampaně získávání přihlašovacích údajů, podobné podvodné e-maily se často používají i k distribuci malwaru. Útočníci běžně využívají e-mailové útoky k doručování škodlivého softwaru potenciálním obětem.

E-maily související s malwarem mohou obsahovat infikované přílohy nebo odkazy vedoucí na škodlivé webové stránky. Mezi běžné typy souborů používané při těchto útocích patří spustitelné soubory, dokumenty PDF, archivy, jako jsou soubory ZIP nebo RAR, skripty a dokumenty Office obsahující škodlivý kód. V některých případech jsou uživatelé vyzváni k povolení maker nebo jiných funkcí, které spouštějí proces infekce.

Většina infekcí malwarem přenášených e-mailem vyžaduje určitou úroveň interakce s uživatelem, jako je otevření přílohy, spuštění staženého souboru, kliknutí na škodlivý odkaz nebo povolení vloženého obsahu. Proto je při zpracování neočekávaných zpráv zásadní opatrnost a ověřování.

Jak reagovat na tyto e-maily

Příjemci, kteří obdrží e-mail s textem „Je vyžadováno obnovení ověření vlastnictví domény“, by se měli vyvarovat jakékoli interakce se zprávou. Neklikejte na odkazy, neotevírejte přílohy a nikdy neodesílejte osobní údaje prostřednictvím stránek, na které se dostanete z nevyžádaných e-mailů.

Nejbezpečnějším postupem je okamžitě e-mail smazat. Osoby, které již zadaly své přihlašovací údaje na phishingové stránce, by si měly neprodleně změnit heslo k e-mailu, aktualizovat hesla pro všechny účty, které mohou sdílet stejné přihlašovací údaje, a všude, kde je to možné, povolit vícefaktorové ověřování.

Závěrečné myšlenky

E-mailová kampaň s názvem „Vyžadováno opětovné ověření vlastnictví domény“ je phishingový podvod maskovaný jako oznámení o shodě s předpisy ICANN. Jejím účelem je obelstít příjemce, aby se vzdali svých přihlašovacích údajů k e-mailovému účtu prostřednictvím podvodné přihlašovací stránky webové pošty. Zprávy se spoléhají na strach, naléhavost a falešná regulační tvrzení, aby manipulovaly s oběťmi a jednaly bez řádného ověření.

Pochopení fungování těchto podvodů je nezbytné pro ochranu citlivých informací. Tím, že uživatelé zůstanou skeptičtí k neočekávaným požadavkům, ověřují tvrzení oficiálními kanály a vyhýbají se odkazům obsaženým v nevyžádaných e-mailech, mohou výrazně snížit riziko, že se stanou obětí krádeže přihlašovacích údajů a dalších kybernetických hrozeb.