E-mail-svindel fra Social Security Administration (SIG)

Cyberkriminelle bruger ofte overbevisende e-mailkampagner til at narre modtagere til at åbne ondsindede filer, afsløre følsomme oplysninger eller installere malware. Derfor er det vigtigt at være forsigtig, når en uventet e-mail ankommer, især når den hævder at indeholde vigtige dokumenter eller hastemeddelelser. E-mails med teksten 'Social Security Administration eStatement Is Available' er et godt eksempel på denne taktik. Disse beskeder er svigagtige og er ikke forbundet med nogen legitime virksomheder, organisationer, offentlige myndigheder eller enheder. Deres eneste formål er at inficere ofrenes enheder og give angribere uautoriseret adgang.

Et nærmere kig på svindelnummeret

Analyse af e-mails med teksten "Social Security Administration eStatement Is Available" har afsløret, at de er en del af en ondsindet spamkampagne, der har til formål at udgive sig for at være Social Security Administration (SSA). E-mailsene informerer fejlagtigt modtagerne om, at deres socialsikringsopgørelse for 2026 kan downloades.

For at få beskeden til at virke autentisk, inkluderer svindlerne detaljer såsom et reference-ID, en dato og en fremtrædende knap med navnet "Download e-udtog". Disse elementer har til formål at skabe en følelse af legitimitet og opfordre modtagerne til at stole på e-mailen. Den faktiske socialsikringsmyndighed er dog slet ikke involveret i disse beskeder.

Målet med kampagnen er at lokke modtagere til at klikke på den angivne knap, hvilket starter den næste fase af angrebet.

Den falske verifikationsportal

Modtagere, der klikker på downloadknappen, omdirigeres til en svindelhjemmeside, der er omhyggeligt designet til at ligne en officiel SSA-side. Ved ankomsten får besøgende vist meddelelsen "Identitetsbekræftelse påkrævet" og bliver bedt om at interagere med en skyder for at starte dokumentdownloadprocessen.

I stedet for at angive en CPR-erklæring leverer hjemmesiden automatisk en fil med navnet 'ScreenConnect.ClientSetup.msi' til den besøgendes enhed. Hjemmesiden viser også en meddelelse, der hævder, at dokumenter kun kan tilgås via Windows-baserede computere. Denne begrænsning er bevidst, da den hjælper angriberne med at målrette Windows-brugere og øger sandsynligheden for, at det ondsindede installationsprogram fungerer korrekt.

Bekræftelsesprocessen tjener intet legitimt formål og eksisterer udelukkende for at få downloadet til at virke troværdigt.

Sådan fungerer det skadelige installationsprogram

Den downloadede fil indeholder en modificeret version af ScreenConnect, også kendt som ConnectWise Control. Under normale omstændigheder er ScreenConnect et legitimt fjernskrivebords- og supportværktøj, der er meget anvendt af IT-professionelle og organisationer.

I denne kampagne er softwaren dog blevet ændret og konfigureret til lydløst at oprette en forbindelse til servere, der kontrolleres af angriberne. Når den trojanerede applikation er installeret og kørt, giver den trusselsaktørerne uovervåget fjernadgang til det kompromitterede system.

Dette adgangsniveau giver angribere mulighed for at udføre en bred vifte af ondsindede aktiviteter uden offerets viden.

Farerne ved fjernsystemkompromittering

Når angribere opnår fjernadgang via skadelig software, kan konsekvenserne være alvorlige. De kan muligvis:

• Overvåg offerets aktiviteter, og se alt, der vises på skærmen.
• Stjæl dokumenter, loginoplysninger, bankoplysninger og andre følsomme data.
• Installer yderligere malware, herunder ransomware, spyware eller trusler, der stjæler information.
• Manipulere filer og systemindstillinger.
• Udfør uautoriserede finansielle transaktioner eller misbrug kompromitterede onlinekonti.

Enhver computer, hvor det skadelige ScreenConnect-installationsprogram er blevet udført, bør betragtes som fuldt kompromitteret. Øjeblikkelige foranstaltninger mod hændelser er nødvendige for at inddæmme truslen og forhindre yderligere skade.

Hvordan spam-e-mails leverer malware

Kampagnen 'Social Security Administration eStatement Is Available' demonstrerer en almindelig strategi for distribution af malware, der anvendes af cyberkriminelle. Ondsindede spam-e-mails spreder generelt malware via vedhæftede filer eller integrerede links.

Vedhæftede filer kan ankomme i forskellige formater, herunder Microsoft Office-dokumenter, PDF-filer, ZIP-arkiver, eksekverbare filer og scripts. Nogle malwareinfektioner starter, så snart filen åbnes, mens andre kræver, at modtagerne aktiverer makroer eller udfører yderligere handlinger.

På samme måde leder ondsindede links ofte brugere til websteder forklædt som sikre dokumentportaler, verifikationstjenester eller downloadsider. Disse websteder er designet til at overtale besøgende til at downloade og køre skadelige filer. I nogle tilfælde starter downloads automatisk, mens i andre tilfælde bruges social engineering-teknikker til at overbevise ofrene om selv at starte malwaren.

Genkendelse af advarselstegnene

Flere karakteristika kan hjælpe med at identificere svindel af denne art:

• Uventede e-mails, der hævder, at vigtige offentlige, finansielle eller juridiske dokumenter er tilgængelige til øjeblikkelig download.

• Beskeder, der skaber hastende virkning eller opfordrer til hurtig handling uden uafhængig verifikation.

• Links, der fører til verifikationssider, før der gives adgang til det formodede dokument.

• Anmodninger om at downloade software for at se dokumenter eller fuldføre verifikationsprocedurer.

• Usædvanlige begrænsninger, såsom påstande om, at indhold kun kan tilgås fra bestemte operativsystemer eller enheder.

At genkende disse indikatorer kan hjælpe med at forhindre utilsigtet eksponering for malware og andre cybertrusler.

Slutvurdering

E-mailkampagnen 'Social Security Administration eStatement Is Available' er en farlig malware-distributionsmetode, der udgiver sig for at være Social Security Administration for at vinde ofrenes tillid. I stedet for at give en årlig opgørelse omdirigerer svindelnumret modtagerne til en falsk verifikationsportal, der downloader et trojansk ScreenConnect-installationsprogram.

Når den ondsindede software er udført, giver den angribere fjernadgang til det berørte system, hvilket potentielt kan føre til datatyveri, kompromittering af konti, økonomiske tab og yderligere malwareinfektioner. Modtagere, der støder på disse e-mails, bør slette dem med det samme og undgå at klikke på links eller downloade filer i beskeden.