E-mail-svindelnummer for fornyelse af domæneejerskab

Uventede e-mails, der kræver hurtig handling, bør altid behandles med forsigtighed. Cyberkriminelle udgiver sig ofte for at være betroede organisationer og regulerende organer for at skabe en falsk følelse af hastende handling og presse modtagere til at træffe forhastede beslutninger. E-mails med "Domæneejerskabsgenvalidering påkrævet" er et godt eksempel på denne taktik. Sikkerhedsforskere har identificeret disse beskeder som en del af en phishing-kampagne, der er designet til at stjæle legitimationsoplysninger til e-mailkonti. Det er vigtigt at bemærke, at disse e-mails ikke er forbundet med nogen legitim virksomhed, organisation, domæneregistrator eller regulerende myndighed.

Forklædt som en officiel overensstemmelsesmeddelelse

Svindelmailsene er udformet, så de ligner officielle meddelelser om domæneoverholdelse. Modtagerne informeres om, at deres domæneejerskab ikke er blevet fornyet inden for de sidste 90 dage, og at der kræves handling for at forblive i overensstemmelse med de påståede regler. Beskederne refererer til 'ICANN-forordning 3.18' og advarer om, at manglende gennemførelse af verifikationsprocessen vil resultere i suspendering af både indgående og udgående e-mailtjenester inden for syv dage.

Sproget, der bruges i hele e-mailen, har til formål at skabe bekymring og hastende behov. Ved at true med afbrydelser af tjenesten forsøger svindlerne at overbevise modtagerne om at handle øjeblikkeligt uden at verificere beskedens ægthed.

Den falske genvalideringsproces

I centrum af svindelnumret er en knap, der typisk er mærket "Genvalider domæne nu". Ved at klikke på denne knap omdirigeres brugerne til en falsk webmail-loginside, der udgiver sig for at være en legitim e-mail-tjenesteportal.

Phishing-siden imiterer en Roundcube Webmail-loginskærm og hostes via Googles Firebase Storage-platform. For at gøre siden mere overbevisende, kan offerets e-mailadresse allerede være udfyldt automatisk. Brugerne bliver derefter bedt om at indtaste deres adgangskode for at fortsætte med den formodede bekræftelsesproces.

I virkeligheden tjener siden kun ét formål: at indsamle loginoplysninger og sende dem direkte til angriberne.

Hvad sker der, når legitimationsoplysninger bliver stjålet?

Kompromitterede e-mailkonti kan give cyberkriminelle adgang til en betydelig mængde personlige og forretningsrelaterede oplysninger. Da e-mailkonti ofte er knyttet til adskillige onlinetjenester, kan angribere udnytte stjålne legitimationsoplysninger til at udvide deres adgang yderligere.

Når de kriminelle har fået kontrol over en e-mailkonto, kan de:

• Læs fortrolige beskeder og følsom kommunikation.
• Nulstil adgangskoder for tilknyttede onlinekonti.
• Udgive sig for at være offeret i kommunikation med kolleger, kunder, venner eller familiemedlemmer.

• Distribuer yderligere phishing-e-mails fra en betroet konto.

• Indsaml personlige oplysninger med henblik på identitetstyveri eller økonomisk svindel.

Da e-mailkonti ofte fungerer som den primære gendannelsesmetode for andre tjenester, kan en enkelt kompromitteret postkasse føre til overtagelse af flere konti.

Hvorfor påstandene er falske

Flere indikatorer afslører den svigagtige karakter af disse e-mails. Beskederne forsøger at udnytte Internet Corporation for Assigned Names and Numbers, almindeligvis kendt som ICANN, ved fejlagtigt at antyde, at domænerevalidering håndhæves via direkte e-mailnotifikationer.

I virkeligheden kontakter ICANN ikke individuelle brugere via uopfordrede beskeder, der kræver domænerevalidering. Derudover kræver ingen legitim domænemyndighed eller velrenommeret tjenesteudbyder, at brugerne verificerer loginoplysninger via et link, der er indlejret i en uventet e-mail.

Afsendernavnet, der ofte vises i disse beskeder, 'Global Domain Validation Center', har ingen anerkendt forbindelse til ICANN, akkrediterede registratorer eller nogen legitim domæneadministrationsorganisation. Hele scenariet er opdigtet for at skabe troværdighed og bedrage modtagere.

Den bredere trussel ud over legitimationstyveri

Selvom det primære mål med denne kampagne er at indsamle legitimationsoplysninger, bruges lignende svindel-e-mails også ofte til distribution af malware. Trusselaktører bruger ofte e-mail-baserede angreb til at levere skadelig software til potentielle ofre.

Malware-relaterede e-mails kan indeholde inficerede vedhæftede filer eller links, der fører til ondsindede websteder. Almindelige filtyper, der bruges i disse angreb, omfatter eksekverbare filer, PDF-dokumenter, arkiver såsom ZIP- eller RAR-filer, scripts og Office-dokumenter, der indeholder skadelig kode. I nogle tilfælde bliver brugerne bedt om at aktivere makroer eller andre funktioner, der udløser infektionsprocessen.

De fleste e-mail-baserede malwareinfektioner kræver en vis grad af brugerinteraktion, såsom at åbne en vedhæftet fil, starte en downloadet fil, klikke på et ondsindet link eller aktivere integreret indhold. Derfor er forsigtighed og verifikation fortsat afgørende, når man håndterer uventede meddelelser.

Sådan svarer du på disse e-mails

Modtagere, der modtager en e-mail med en meddelelse om, at domæneejerskab skal fornyes, bør undgå at interagere med meddelelsen på nogen måde. Links bør ikke klikkes, vedhæftede filer bør ikke åbnes, og personlige oplysninger bør aldrig indsendes via sider, der nås fra uopfordrede e-mails.

Den sikreste fremgangsmåde er at slette e-mailen med det samme. Personer, der allerede har indtastet deres loginoplysninger på phishing-siden, bør straks ændre deres e-mail-adgangskode, opdatere adgangskoder for alle konti, der deler de samme loginoplysninger, og aktivere multifaktor-godkendelse, hvor det er muligt.

Afsluttende tanker

E-mailkampagnen 'Domain Ownership Revalidation Required' er et phishing-svindelnummer, der udgiver sig for at være en ICANN-relateret compliance-meddelelse. Formålet er at narre modtagere til at opgive deres e-mailkontooplysninger via en falsk webmail-loginside. Beskederne er baseret på frygt, hastende karakter og falske lovgivningsmæssige påstande for at manipulere ofrene til at handle uden ordentlig verifikation.

Det er vigtigt at forstå, hvordan disse svindelnumre fungerer, for at beskytte følsomme oplysninger. Ved at forblive skeptisk over for uventede anmodninger, verificere påstande via officielle kanaler og undgå links i uopfordrede e-mails kan brugerne reducere deres risiko for at blive ofre for tyveri af legitimationsoplysninger og andre cybertrusler betydeligt.