Απάτη μέσω email ενημέρωσης κατάστασης DHL Express Commerce

Ερευνητές κυβερνοασφάλειας ανέλυσαν τα email ενημέρωσης κατάστασης της DHL Express Commerce και διαπίστωσαν ότι πρόκειται για μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί για να κλέψουν τα διαπιστευτήρια σύνδεσης των χρηστών. Τα email παρουσιάζονται ως νόμιμες ειδοποιήσεις από την DHL Express Commerce και ενημερώνουν ψευδώς τους παραλήπτες ότι έχουν κοινοποιηθεί τρία έγγραφα σε αυτούς.

Τα μηνύματα συνήθως φτάνουν με τη γραμμή θέματος «DHL Express Commerce» και είναι προσεκτικά σχεδιασμένα ώστε να μοιάζουν με ειδοποιήσεις από μια πλατφόρμα κοινής χρήσης εγγράφων. Για να αυξηθεί η αξιοπιστία τους, τα email εμφανίζουν μια γραμμή που φαίνεται να είναι ένα συνημμένο με το όνομα «DHL Express Invoice Payment.docx». Ωστόσο, αυτό δεν είναι ένα πραγματικό συνημμένο αρχείου. Αντίθετα, είναι ένα στοιχείο με δυνατότητα κλικ που δημιουργήθηκε για να παραπλανήσει τους παραλήπτες ώστε να αλληλεπιδράσουν με το email.

Σύμφωνα με το περιεχόμενο του μηνύματος, το σύστημα έχει εντοπίσει τρία έγγραφα που έχουν κοινοποιηθεί στον παραλήπτη και υποτίθεται ότι είναι άμεσα προσβάσιμα.

Η παγίδα της πύλης πλαστών εγγράφων

Η απάτη βασίζεται στο να πείσει τους παραλήπτες να κάνουν κλικ είτε στο πλαστό συνημμένο είτε στο κουμπί «Προβολή εγγράφων». Ανεξάρτητα από την επιλεγμένη επιλογή, και οι δύο κατευθύνουν τους χρήστες στον ίδιο δόλιο προορισμό.

Η συνδεδεμένη σελίδα φιλοξενείται στην πλατφόρμα Firebase Storage της Google. Ενώ το Firebase είναι μια νόμιμη υπηρεσία φιλοξενίας cloud, οι κυβερνοεγκληματίες συχνά καταχρώνται αξιόπιστες πλατφόρμες για να φιλοξενήσουν κακόβουλο περιεχόμενο, επειδή τέτοιοι τομείς συχνά φαίνονται αξιόπιστοι και ενδέχεται να αποφεύγουν τα βασικά φίλτρα ασφαλείας.

Μόλις οι επισκέπτες φτάσουν στη σελίδα, τους παρουσιάζεται μια ψεύτικη φόρμα σύνδεσης της DHL Express που ζητά μια διεύθυνση email και έναν κωδικό πρόσβασης. Παρά την εμφάνισή της, η σελίδα δεν έχει καμία σύνδεση με την DHL. Οποιαδήποτε διαπιστευτήρια εισάγονται στη φόρμα διαβιβάζονται απευθείας στους απατεώνες που χειρίζονται την καμπάνια.

Γιατί τα κλεμμένα διαπιστευτήρια είναι τόσο πολύτιμα

Τα διαπιστευτήρια σύνδεσης είναι από τα πιο περιζήτητα στοιχεία για τους κυβερνοεγκληματίες. Πολλά άτομα επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς διαδικτυακούς λογαριασμούς, καθιστώντας ένα μόνο σύνολο διαπιστευτηρίων που έχει παραβιαστεί εξαιρετικά πολύτιμο.

Όταν οι εισβολείς αποκτούν στοιχεία σύνδεσης μέσω καμπανιών ηλεκτρονικού "ψαρέματος" (phishing), συχνά δοκιμάζουν αυτά τα διαπιστευτήρια σε διάφορες υπηρεσίες, όπως πλατφόρμες email, ιστότοπους αγορών, λογαριασμούς αποθήκευσης στο cloud και δίκτυα κοινωνικής δικτύωσης. Οι επιτυχημένες παραβιάσεις λογαριασμών μπορούν να οδηγήσουν σε μη εξουσιοδοτημένες αγορές, κλοπή ταυτότητας, κατασχέσεις λογαριασμών, οικονομικές απώλειες και απώλεια πρόσβασης σε σημαντικές διαδικτυακές υπηρεσίες.

Για αυτόν τον λόγο, οι παραλήπτες δεν πρέπει ποτέ να εισάγουν διαπιστευτήρια σε ιστότοπους στους οποίους έχουν πρόσβαση μέσω ανεπιθύμητων email, χωρίς πρώτα να επαληθεύσουν τη νομιμότητα του μηνύματος και τον προορισμό του.

Προειδοποιητικά σημάδια που αποκαλύπτουν την απάτη

Αρκετοί δείκτες αποκαλύπτουν τον δόλιο χαρακτήρα αυτών των email:

• Το μήνυμα ισχυρίζεται ότι τα έγγραφα έχουν κοινοποιηθεί απροσδόκητα και ενθαρρύνει την άμεση αλληλεπίδραση.
• Το εμφανιζόμενο αρχείο 'DHL Express Invoice Payment.docx' είναι απλώς ένα δόλωμα με δυνατότητα κλικ και όχι ένα γνήσιο συνημμένο.
• Και τα δύο στοιχεία με δυνατότητα κλικ οδηγούν στην ίδια σελίδα σύνδεσης αντί για μια νόμιμη υπηρεσία κοινής χρήσης εγγράφων.
• Ο ιστότοπος ζητά διαπιστευτήρια ηλεκτρονικού ταχυδρομείου, παρόλο που δεν έχει καμία νόμιμη σύνδεση με την DHL.
• Η επικοινωνία επιχειρεί να αξιοποιήσει τη φήμη μιας αξιόπιστης επωνυμίας για να κερδίσει την εμπιστοσύνη του παραλήπτη.

Η πιθανή σύνδεση με κακόβουλο λογισμικό

Οι εκστρατείες ηλεκτρονικού "ψαρέματος" (phishing) δεν περιορίζονται πάντα στην κλοπή διαπιστευτηρίων. Σε ορισμένες περιπτώσεις, παρόμοια ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούνται επίσης για τη διανομή κακόβουλου λογισμικού.

Οι κυβερνοεγκληματίες συνήθως μεταμφιέζουν κακόβουλα αρχεία ως τιμολόγια, ειδοποιήσεις αποστολής, επιβεβαιώσεις πληρωμής, συμβάσεις ή άλλα συνήθη επιχειρηματικά έγγραφα. Αυτά τα επιβλαβή αρχεία μπορεί να παραδίδονται ως εκτελέσιμα προγράμματα, συμπιεσμένα αρχεία, έγγραφα PDF, σενάρια ή αρχεία του Microsoft Office που περιέχουν ενσωματωμένο κακόβουλο κώδικα.

Οι μολύνσεις συχνά απαιτούν κάποια μορφή αλληλεπίδρασης του χρήστη πριν ενεργοποιηθεί το κακόβουλο λογισμικό. Το άνοιγμα ενός κακόβουλου συνημμένου, η ενεργοποίηση μακροεντολών, η εκτέλεση ενός ληφθέντος αρχείου ή το κλικ σε έναν παραπλανητικό σύνδεσμο μπορούν να ενεργοποιήσουν τη διαδικασία παραβίασης. Η άσκηση προσοχής κατά τον χειρισμό ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου μειώνει σημαντικά την πιθανότητα μόλυνσης.

Πώς να απαντήσετε εάν λάβετε το email

Εάν αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου εμφανιστεί σε ένα εισερχόμενο, η ασφαλέστερη προσέγγιση είναι να αποφύγετε την αλληλεπίδραση με τυχόν συνδέσμους, κουμπιά ή συνημμένα που περιέχονται σε αυτό. Το μήνυμα θα πρέπει να διαγραφεί αμέσως. Τα άτομα που έχουν ήδη υποβάλει τα διαπιστευτήριά τους μέσω της ψεύτικης σελίδας σύνδεσης θα πρέπει να αλλάξουν τους επηρεαζόμενους κωδικούς πρόσβασης χωρίς καθυστέρηση και να ενημερώσουν τυχόν άλλους λογαριασμούς που χρησιμοποιούν τα ίδια διαπιστευτήρια. Η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων, όπου είναι δυνατόν, μπορεί να παρέχει ένα επιπλέον επίπεδο προστασίας από μη εξουσιοδοτημένη πρόσβαση.

Τελική Αξιολόγηση

Το email ενημέρωσης κατάστασης DHL Express Commerce είναι μια απάτη ηλεκτρονικού "ψαρέματος" (phishing) που έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια σύνδεσης μέσω της πλαστοπροσωπίας του DHL Express Commerce. Η ψεύτικη γραμμή συνημμένου και το κουμπί "Προβολή εγγράφων" ανακατευθύνουν τους χρήστες στην ίδια δόλια σελίδα σύνδεσης που φιλοξενείται μέσω μιας υπηρεσίας cloud που έχει καταχραστεί. Δεδομένου ότι η καμπάνια δεν έχει καμία σχέση με την DHL ή οποιονδήποτε νόμιμο οργανισμό, οι παραλήπτες θα πρέπει να αντιμετωπίζουν αυτά τα μηνύματα ως κακόβουλα, να αποφεύγουν κάθε αλληλεπίδραση με το περιεχόμενό τους και να τα αφαιρούν αμέσως από τα εισερχόμενά τους.