Απάτη μέσω email που απαιτεί επανεπικύρωση ιδιοκτησίας domain

Τα μη αναμενόμενα email που απαιτούν επείγουσα δράση θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες συχνά παριστάνουν αξιόπιστους οργανισμούς και ρυθμιστικούς φορείς για να δημιουργήσουν μια ψευδή αίσθηση επείγοντος και να πιέσουν τους παραλήπτες να λάβουν βιαστικές αποφάσεις. Τα email «Απαιτείται επανεπικύρωση ιδιοκτησίας τομέα» αποτελούν ένα χαρακτηριστικό παράδειγμα αυτής της τακτικής. Οι ερευνητές ασφαλείας έχουν εντοπίσει αυτά τα μηνύματα ως μέρος μιας εκστρατείας ηλεκτρονικού «ψαρέματος» που έχει σχεδιαστεί για να κλέψει τα διαπιστευτήρια λογαριασμών email. Είναι σημαντικό ότι αυτά τα email δεν σχετίζονται με καμία νόμιμη εταιρεία, οργανισμό, καταχωρητή τομέα ή ρυθμιστική αρχή.

Μεταμφιεσμένο ως Επίσημη Ειδοποίηση Συμμόρφωσης

Τα απάτη μέσω email έχουν σχεδιαστεί έτσι ώστε να μοιάζουν με επίσημες ειδοποιήσεις συμμόρφωσης domain. Οι παραλήπτες ενημερώνονται ότι η ιδιοκτησία του domain τους δεν έχει επανεπικυρωθεί τις τελευταίες 90 ημέρες και ότι απαιτείται η λήψη μέτρων για να παραμείνει η εταιρεία συμμορφούμενη με τους φερόμενους κανονισμούς. Τα μηνύματα αναφέρονται στον «Κανονισμό ICANN 3.18» και προειδοποιούν ότι η μη ολοκλήρωση της διαδικασίας επαλήθευσης θα έχει ως αποτέλεσμα την αναστολή τόσο των εισερχόμενων όσο και των εξερχόμενων υπηρεσιών email εντός επτά ημερών.

Η γλώσσα που χρησιμοποιείται σε όλο το email έχει ως στόχο να δημιουργήσει ανησυχία και επείγουσα ανάγκη. Απειλώντας με διακοπές υπηρεσιών, οι απατεώνες προσπαθούν να πείσουν τους παραλήπτες να ενεργήσουν αμέσως χωρίς να επαληθεύσουν την αυθεντικότητα του μηνύματος.

Η διαδικασία ψευδούς επανεπικύρωσης

Στο επίκεντρο της απάτης βρίσκεται ένα κουμπί με την ένδειξη «Επανακύρωση τομέα τώρα». Κάνοντας κλικ σε αυτό το κουμπί, οι χρήστες ανακατευθύνονται σε μια δόλια σελίδα σύνδεσης webmail που μεταμφιέζεται σε μια νόμιμη πύλη υπηρεσίας email.

Η σελίδα ηλεκτρονικού "ψαρέματος" (phishing) μιμείται μια οθόνη σύνδεσης του Roundcube Webmail και φιλοξενείται μέσω της πλατφόρμας αποθήκευσης Firebase της Google. Για να φαίνεται η σελίδα πιο πειστική, η διεύθυνση email του θύματος ενδέχεται να έχει ήδη συμπληρωθεί αυτόματα. Στη συνέχεια, οι χρήστες καλούνται να εισαγάγουν τον κωδικό πρόσβασής τους για να συνεχίσουν με την υποτιθέμενη διαδικασία επαλήθευσης.

Στην πραγματικότητα, η σελίδα εξυπηρετεί μόνο έναν σκοπό: τη συλλογή διαπιστευτηρίων σύνδεσης και την απευθείας μετάδοσή τους στους εισβολείς.

Τι συμβαίνει όταν κλέβονται διαπιστευτήρια;

Οι παραβιασμένοι λογαριασμοί email μπορούν να παρέχουν στους κυβερνοεγκληματίες πρόσβαση σε σημαντικό αριθμό προσωπικών και επαγγελματικών πληροφοριών. Δεδομένου ότι οι λογαριασμοί email συχνά συνδέονται με πολλές διαδικτυακές υπηρεσίες, οι εισβολείς ενδέχεται να αξιοποιήσουν κλεμμένα διαπιστευτήρια για να επεκτείνουν ακόμη περισσότερο την πρόσβασή τους.

Μόλις αποκτήσουν τον έλεγχο ενός λογαριασμού ηλεκτρονικού ταχυδρομείου, οι εγκληματίες μπορούν:

• Διαβάστε εμπιστευτικά μηνύματα και ευαίσθητες επικοινωνίες.
• Επαναφορά κωδικών πρόσβασης για συνδεδεμένους διαδικτυακούς λογαριασμούς.
• Μιμηθείτε το θύμα στις επικοινωνίες σας με συναδέλφους, πελάτες, φίλους ή μέλη της οικογένειάς σας.

• Διανείμετε επιπλέον ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) από έναν αξιόπιστο λογαριασμό.

• Συλλογή προσωπικών πληροφοριών για κλοπή ταυτότητας ή οικονομική απάτη.

Επειδή οι λογαριασμοί email συχνά χρησιμεύουν ως η κύρια μέθοδος ανάκτησης για άλλες υπηρεσίες, ένα μόνο παραβιασμένο γραμματοκιβώτιο μπορεί να οδηγήσει σε πολλαπλές καταλήψεις λογαριασμών.

Γιατί οι ισχυρισμοί είναι ψευδείς

Αρκετοί δείκτες αποκαλύπτουν τον δόλιο χαρακτήρα αυτών των email. Τα μηνύματα επιχειρούν να εκμεταλλευτούν την εξουσία του Διαδικτυακού Οργανισμού για την Εκχώρηση Ονομάτων και Αριθμών, κοινώς γνωστού ως ICANN, υπονοώντας ψευδώς ότι η επανεπικύρωση τομέα επιβάλλεται μέσω άμεσων ειδοποιήσεων μέσω email.

Στην πραγματικότητα, η ICANN δεν επικοινωνεί με μεμονωμένους χρήστες μέσω ανεπιθύμητων μηνυμάτων που απαιτούν επανεπικύρωση τομέα. Επιπλέον, καμία νόμιμη αρχή τομέα ή αξιόπιστος πάροχος υπηρεσιών δεν απαιτεί από τους χρήστες να επαληθεύουν τα διαπιστευτήρια σύνδεσης μέσω ενός συνδέσμου που ενσωματώνεται σε ένα μη αναμενόμενο email.

Το όνομα του αποστολέα που εμφανίζεται συχνά σε αυτά τα μηνύματα, «Κέντρο Παγκόσμιας Επικύρωσης Τομέα», δεν έχει καμία αναγνωρισμένη σύνδεση με την ICANN, τους διαπιστευμένους καταχωρητές ή οποιονδήποτε νόμιμο οργανισμό διαχείρισης τομέων. Όλο αυτό το σενάριο είναι κατασκευασμένο για να δημιουργήσει αξιοπιστία και να εξαπατήσει τους παραλήπτες.

Η ευρύτερη απειλή πέρα από την κλοπή διαπιστευτηρίων

Ενώ ο κύριος στόχος αυτής της καμπάνιας είναι η συλλογή διαπιστευτηρίων, παρόμοια απάτη μέσω email χρησιμοποιούνται συχνά και για τη διανομή κακόβουλου λογισμικού. Οι απειλητικοί παράγοντες χρησιμοποιούν συνήθως επιθέσεις που βασίζονται σε email για να παραδώσουν κακόβουλο λογισμικό σε πιθανά θύματα.

Τα email που σχετίζονται με κακόβουλο λογισμικό ενδέχεται να περιλαμβάνουν μολυσμένα συνημμένα ή συνδέσμους που οδηγούν σε κακόβουλους ιστότοπους. Συνήθεις τύποι αρχείων που χρησιμοποιούνται σε αυτές τις επιθέσεις περιλαμβάνουν εκτελέσιμα αρχεία, έγγραφα PDF, αρχεία όπως αρχεία ZIP ή RAR, σενάρια και έγγραφα του Office που περιέχουν επιβλαβή κώδικα. Σε ορισμένες περιπτώσεις, οι χρήστες καλούνται να ενεργοποιήσουν μακροεντολές ή άλλες λειτουργίες που ενεργοποιούν τη διαδικασία μόλυνσης.

Οι περισσότερες μολύνσεις από κακόβουλο λογισμικό που μεταδίδονται μέσω email απαιτούν κάποιο επίπεδο αλληλεπίδρασης του χρήστη, όπως το άνοιγμα ενός συνημμένου, την εκκίνηση ενός ληφθέντος αρχείου, το κλικ σε έναν κακόβουλο σύνδεσμο ή την ενεργοποίηση ενσωματωμένου περιεχομένου. Αυτός είναι ο λόγος για τον οποίο η προσοχή και η επαλήθευση παραμένουν κρίσιμες κατά τον χειρισμό μη αναμενόμενων μηνυμάτων.

Πώς να απαντήσετε σε αυτά τα ηλεκτρονικά μηνύματα

Οι παραλήπτες που λαμβάνουν ένα email με την ένδειξη «Απαιτείται επανεπικύρωση κατοχής τομέα» θα πρέπει να αποφεύγουν να αλληλεπιδρούν με το μήνυμα με οποιονδήποτε τρόπο. Δεν πρέπει να γίνεται κλικ σε συνδέσμους, δεν πρέπει να ανοίγονται συνημμένα και δεν πρέπει ποτέ να υποβάλλονται προσωπικά στοιχεία μέσω σελίδων που προέρχονται από ανεπιθύμητα email.

Η ασφαλέστερη διαδικασία είναι να διαγράψετε αμέσως το email. Τα άτομα που έχουν ήδη εισαγάγει τα διαπιστευτήριά τους στη σελίδα ηλεκτρονικού "ψαρέματος" (phishing) θα πρέπει να αλλάξουν τον κωδικό πρόσβασης email τους χωρίς καθυστέρηση, να ενημερώσουν τους κωδικούς πρόσβασης για τυχόν λογαριασμούς που ενδέχεται να μοιράζονται τα ίδια διαπιστευτήρια και να ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων όπου είναι δυνατόν.

Τελικές Σκέψεις

Η καμπάνια email «Απαιτείται επανεπικύρωση ιδιοκτησίας τομέα» είναι μια απάτη ηλεκτρονικού «ψαρέματος» (phishing) που μεταμφιέζεται σε ειδοποίηση συμμόρφωσης που σχετίζεται με την ICANN. Σκοπός της είναι να ξεγελάσει τους παραλήπτες ώστε να παραδώσουν τα διαπιστευτήρια του λογαριασμού email τους μέσω μιας δόλιας σελίδας σύνδεσης webmail. Τα μηνύματα βασίζονται στον φόβο, την επείγουσα ανάγκη και ψευδείς κανονιστικούς ισχυρισμούς για να χειραγωγήσουν τα θύματα ώστε να ενεργήσουν χωρίς την κατάλληλη επαλήθευση.

Η κατανόηση του τρόπου λειτουργίας αυτών των απατήσεων είναι απαραίτητη για την προστασία ευαίσθητων πληροφοριών. Παραμένοντας επιφυλακτικοί απέναντι σε απροσδόκητα αιτήματα, επαληθεύοντας τους ισχυρισμούς μέσω επίσημων καναλιών και αποφεύγοντας τους συνδέσμους που περιέχονται σε ανεπιθύμητα email, οι χρήστες μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν θύματα κλοπής διαπιστευτηρίων και άλλων κυβερνοαπειλών.