E-mail-svindel med statusopdatering fra DHL Express Commerce

Cybersikkerhedsforskere har analyseret e-mails med statusopdateringer fra DHL Express Commerce og fastslået, at de er phishing-beskeder, der er designet til at stjæle brugernes loginoplysninger. E-mailsene udgiver sig for at være legitime meddelelser fra DHL Express Commerce og informerer fejlagtigt modtagerne om, at tre dokumenter er blevet delt med dem.

Beskederne ankommer typisk med emnelinjen 'DHL Express Commerce' og er omhyggeligt udformet til at ligne meddelelser fra en dokumentdelingsplatform. For at øge deres troværdighed viser e-mails en linje, der ser ud til at være en vedhæftet fil med navnet 'DHL Express Invoice Payment.docx'. Dette er dog ikke en egentlig vedhæftet fil. I stedet er det et klikbart element, der er oprettet for at narre modtagere til at interagere med e-mailen.

Ifølge beskedens indhold har systemet registreret tre dokumenter, der er blevet delt med modtageren, og som angiveligt kan tilgås med det samme.

Fælden for portalen for falske dokumenter

Svindelfunktionen går ud på at overbevise modtagerne om at klikke på enten den forfalskede vedhæftede fil eller knappen 'Vis dokumenter'. Uanset hvilken mulighed der vælges, leder begge brugerne til den samme svigagtige destination.

Den linkede side hostes på Googles Firebase Storage-platform. Selvom Firebase er en legitim cloud-hostingtjeneste, misbruger cyberkriminelle ofte velrenommerede platforme til at hoste skadeligt indhold, fordi sådanne domæner ofte virker troværdige og kan omgå grundlæggende sikkerhedsfiltre.

Når besøgende ankommer til siden, bliver de præsenteret for en falsk DHL Express-loginformular, der anmoder om en e-mailadresse og adgangskode. Trods dens udseende har siden ingen forbindelse til DHL. Alle loginoplysninger, der indtastes i formularen, sendes direkte til de svindlerne, der driver kampagnen.

Hvorfor stjålne legitimationsoplysninger er så værdifulde

Loginoplysninger er blandt de mest eftertragtede aktiver for cyberkriminelle. Mange personer genbruger den samme adgangskode på tværs af flere onlinekonti, hvilket gør et enkelt kompromitteret sæt loginoplysninger yderst værdifuldt.

Når angribere får adgang til loginoplysninger via phishing-kampagner, tester de ofte disse legitimationsoplysninger på forskellige tjenester, herunder e-mailplatforme, shoppingsider, cloud-lagringskonti og sociale medienetværk. Succesfulde kontokompromitteringer kan resultere i uautoriserede køb, identitetstyveri, kontoovertagelser, økonomiske tab og tab af adgang til vigtige onlinetjenester.

Af denne grund bør modtagere aldrig indtaste loginoplysninger på websteder, der nås via uopfordrede e-mails, uden først at verificere beskedens og destinationens ægthed.

Advarselstegn, der afslører svindelnummeret

Flere indikatorer afslører den svigagtige karakter af disse e-mails:

• Beskeden hævder, at dokumenter er blevet delt uventet, og opfordrer til øjeblikkelig interaktion.
• Den viste 'DHL Express Invoice Payment.docx' er blot et klikbart lokkemiddel snarere end en ægte vedhæftet fil.
• Begge klikbare elementer fører til den samme loginside i stedet for en legitim dokumentdelingstjeneste.
• Hjemmesiden anmoder om e-mailoplysninger, selvom der ikke er nogen legitim forbindelse til DHL.
• Kommunikationen forsøger at udnytte et betroet brands omdømme for at vinde modtagerens tillid.

Den potentielle malware-forbindelse

Phishing-kampagner er ikke altid begrænset til tyveri af legitimationsoplysninger. I nogle tilfælde bruges lignende spam-e-mails også til at distribuere malware.

Cyberkriminelle forklæder ofte skadelige filer som fakturaer, forsendelsesmeddelelser, betalingsbekræftelser, kontrakter eller andre rutinemæssige forretningsdokumenter. Disse skadelige filer kan leveres som eksekverbare programmer, komprimerede arkiver, PDF-dokumenter, scripts eller Microsoft Office-filer, der indeholder indlejret skadelig kode.

Infektioner kræver ofte en eller anden form for brugerinteraktion, før malware aktiveres. Åbning af en skadelig vedhæftet fil, aktivering af makroer, kørsel af en downloadet fil eller klik på et vildledende link kan udløse kompromitteringsprocessen. Forsigtighed ved håndtering af uopfordrede e-mails reducerer sandsynligheden for infektion betydeligt.

Sådan svarer du, hvis du modtager e-mailen

Hvis denne e-mail vises i en indbakke, er den sikreste fremgangsmåde at undgå at interagere med links, knapper eller vedhæftede filer i den. Beskeden bør slettes med det samme. Personer, der allerede har indsendt deres loginoplysninger via den falske loginside, bør straks ændre de berørte adgangskoder og opdatere alle andre konti, der bruger de samme loginoplysninger. Aktivering af multifaktor-godkendelse, hvor det er muligt, kan give et ekstra lag af beskyttelse mod uautoriseret adgang.

Slutvurdering

E-mailen med statusopdateringen fra DHL Express Commerce er et phishing-svindelnummer, der er designet til at indsamle loginoplysninger ved at udgive sig for at være DHL Express Commerce. Den falske vedhæftede fil og knappen 'Vis dokumenter' omdirigerer begge brugere til den samme falske loginside, der hostes via en misbrugt cloudtjeneste. Da kampagnen ikke har nogen tilknytning til DHL eller nogen legitim organisation, bør modtagere behandle disse beskeder som ondsindede, undgå al interaktion med deres indhold og straks fjerne dem fra deres indbakke.