DHL Expressi kaubanduse staatuse värskenduse e-posti pettus

Küberturvalisuse uurijad on analüüsinud DHL Express Commerce'i staatuse värskenduste e-kirju ja teinud kindlaks, et need on andmepüügisõnumid, mille eesmärk on varastada kasutajate sisselogimisandmeid. E-kirjad maskeeruvad DHL Express Commerce'i seaduslikeks teadeteks ja teavitavad saajaid valesti, et nendega on jagatud kolme dokumenti.

Tavaliselt saabuvad kirjad teemareaga „DHL Express Commerce” ja on hoolikalt koostatud meenutama dokumentide jagamise platvormi teavitusi. Usaldusväärsuse suurendamiseks kuvatakse kirjades rida, mis näib olevat manus nimega „DHL Express Invoice Payment.docx”. See ei ole aga tegelik failimanus. Selle asemel on see klõpsatav element, mis on loodud selleks, et meelitada saajaid kirjaga suhtlema.

Sõnumi sisu kohaselt on süsteem tuvastanud kolm dokumenti, mis on saajaga jagatud ja millele väidetavalt saab kohe juurde pääseda.

Võltsitud dokumentide portaali lõks

Pettuse aluseks on saajate veenmine klõpsama kas võltsitud manusel või nupul „Vaata dokumente”. Olenemata sellest, kumb suvand valitakse, suunavad mõlemad kasutajad samasse petturlikku sihtkohta.

Lingitud leht asub Google'i Firebase Storage'i platvormil. Kuigi Firebase on seaduslik pilvemajutusteenus, kuritarvitavad küberkurjategijad pahatahtliku sisu majutamiseks sageli mainekaid platvorme, kuna sellised domeenid tunduvad sageli usaldusväärsed ja võivad põhilisi turvafiltreid vältida.

Kui külastajad lehele jõuavad, kuvatakse neile võltsitud DHL Expressi sisselogimisvorm, kus küsitakse e-posti aadressi ja parooli. Vaatamata välimusele pole lehel DHL-iga mingit seost. Kõik vormile sisestatud andmed edastatakse otse kampaaniat korraldavatele petturitele.

Miks varastatud volitused on nii väärtuslikud

Sisselogimisandmed on küberkurjategijate seas ühed ihaldatumad varad. Paljud inimesed kasutavad sama parooli mitmel veebikontol, mistõttu on üksainus ohustatud sisselogimisandmete komplekt väga väärtuslik.

Kui ründajad saavad sisselogimisandmeid andmepüügikampaaniate kaudu, testivad nad neid sageli erinevates teenustes, sealhulgas e-posti platvormidel, ostusaitidel, pilvesalvestuskontodel ja sotsiaalmeediavõrgustikes. Edukas kontode kahjustamine võib kaasa tuua volitamata oste, identiteedivarguse, kontode ülevõtmise, rahalisi kaotusi ja juurdepääsu kaotamise olulistele veebiteenustele.

Sel põhjusel ei tohiks saajad kunagi sisestada oma volitusi veebisaitidel, millele jõuavad soovimatud meilid, ilma et nad oleksid kõigepealt kontrollinud sõnumi ja sihtkoha õigsust.

Hoiatusmärgid, mis paljastavad pettuse

Nende meilide petturlikku olemust paljastavad mitmed näitajad:

• Sõnumis väidetakse, et dokumente jagati ootamatult, ja julgustatakse kohest suhtlemist.
• Kuvatud fail „DHL Express Invoice Payment.docx” on pigem klikitav äpp kui päris manus.
• Mõlemad klõpsatavad elemendid viivad samale sisselogimislehele, mitte legitiimsele dokumentide jagamise teenusele.
• Veebisait küsib e-posti teel mandaate, kuigi DHL-iga puudub kehtiv ühendus.
• Suhtluses püütakse usaldusväärse kaubamärgi mainet ära kasutada, et võita saaja usaldus.

Võimalik pahavaraühendus

Õngitsuskampaaniad ei piirdu alati ainult volituste vargusega. Mõnel juhul kasutatakse sarnaseid rämpsposti e-kirju ka pahavara levitamiseks.

Küberkurjategijad varjavad pahatahtlikke faile tavaliselt arvete, saatelehtede, maksekinnituste, lepingute või muude tavapäraste äridokumentidena. Need kahjulikud failid võivad olla edastatud käivitatavate programmide, tihendatud arhiivide, PDF-dokumentide, skriptide või pahatahtlikku koodi sisaldavate Microsoft Office'i failidena.

Nakatumine nõuab pahavara aktiveerimiseks sageli mingisugust kasutaja sekkumist. Pahatahtliku manuse avamine, makrode lubamine, allalaaditud faili käivitamine või petliku lingi klõpsamine võib käivitada nakatamisprotsessi. Soovimatute meilide käitlemisel ettevaatlik olemine vähendab oluliselt nakatumise tõenäosust.

Kuidas vastata, kui saate e-kirja

Kui see e-kiri ilmub postkasti, on kõige turvalisem viis vältida selles sisalduvate linkide, nuppude või manustega suhtlemist. Sõnum tuleks viivitamatult kustutada. Isikud, kes on juba oma volitused võltsitud sisselogimislehe kaudu esitanud, peaksid viivitamatult muutma mõjutatud paroole ja värskendama kõiki teisi kontosid, mis kasutavad samu volitusi. Mitmefaktorilise autentimise lubamine kõikjal, kus see on võimalik, pakub täiendavat kaitset volitamata juurdepääsu eest.

Lõplik hindamine

DHL Express Commerce'i oleku värskenduse e-kiri on andmepüügipettus, mille eesmärk on DHL Express Commerce'i jäljendamise teel sisselogimisandmete kogumine. Võltsitud manuse rida ja nupp „Vaata dokumente” suunavad kasutajad mõlemad samale petturlikule sisselogimislehele, mida majutab kuritarvitatud pilveteenus. Kuna kampaanial pole mingit seost DHL-i ega ühegi õigustatud organisatsiooniga, peaksid saajad käsitlema neid sõnumeid pahatahtlikena, vältima igasugust suhtlemist nende sisuga ja eemaldama need kohe oma postkastidest.