Turvalise dokumendi ülevaatamiseks meilipettuse

Tänapäeva ohumaastikul on oluline ootamatute meilidega ettevaatlik olla. Küberkurjategijad varjavad andmepüügisõnumeid rutiinselt seaduslikuks ärisuhtluseks, et petta saajaid tundlikku teavet avaldama. Üks selline näide on e-kiri „Turvaline dokument ülevaatamiseks“. Vaatamata professionaalsele välimusele ei ole see kampaania seotud ühegi seadusliku ettevõtte, organisatsiooni, dokumentide jagamise platvormi ega e-posti teenusepakkujaga. Selle ainus eesmärk on varastada pahaaimamatute kasutajate e-posti kontode volitusi.

„Turvaline dokument läbivaatamiseks” pettuse taga

„Turvaline ülevaatamiseks mõeldud dokument” meilide põhjalik analüüs on kinnitanud, et need on andmepüügisõnumid, mille eesmärk on sisselogimisandmete kogumine. Meilid teesklevad turvalise dokumendijagamise teavitusi ja väidavad, et saaja ülevaatamiseks on ette valmistatud konfidentsiaalne lepingufail pealkirjaga „Lepingu_leping_0035040_ACH_Maksmine.pdf”.

Kiireloomulisuse tekitamiseks öeldakse sõnumis, et dokumendi link aegub 72 tunni jooksul. Tagasiloendust esitatakse turvafunktsioonina, mis julgustab saajaid kiiresti tegutsema ilma meili autentsust hoolikalt hindamata.

Teine taktika, mida nendes sõnumites kasutatakse, on juhendada saajaid teisaldama e-kiri oma postkasti, kui see filtreeriti rämpspostina. See katse näida usaldusväärsena on mõeldud kahtluste vähendamiseks ja tõenäosuse suurendamiseks, et ohver sisuga suhtleb.

Võltsitud turvalise dokumendi portaal

E-kiri sisaldab nuppu või linki sildiga „Ava dokument turvaliselt“. Link ei suuna kasutajaid seaduslikule dokumentide jagamise teenusele, vaid petturlikule veebisaidile, mis asub aadressil esnad-fls(dot)com.

Veebisait esitleb end ekslikult turvalise e-posti autentimisportaalina. Paljudel juhtudel kuvab see võltsitud sisselogimislehe, mis jäljendab välimuselt Google'i sisselogimisliidest ja võib olla märgistatud kui „Gmaili turvaline portaal”. Külastajatel palutakse väidetavale dokumendile juurdepääsemiseks sisestada oma e-posti aadress ja parool.

Teadlased on täheldanud, et andmepüügileht võib oma välimust dünaamiliselt kohandada olenevalt saaja e-posti pakkujast. Gmaili kasutajad võivad näha Google'i-teemalist sisselogimislehte, samas kui teiste e-posti teenuste kasutajatele võidakse kuvada liideseid, mis on kujundatud sarnaselt nende vastavate pakkujatega. See kohandamine aitab pettusel veenvamalt tunduda.

Mis juhtub pärast volituste sisestamist?

Kogu petturliku sisselogimisvormi kaudu esitatud teave edastatakse otse petturitele. Kui ründajad saavad juurdepääsu e-posti kontole, saavad nad seda mitmel viisil ära kasutada:

• Juurdepääs tundlikele meilidele ja salvestatud isikuandmetele.

• Lähtestage seotud kontode ja teenuste paroolid.

• Edasistes andmepüügikampaaniates esine ohvrina.

• Toimetada identiteedivargust ja muid pettuse vorme.

Oluline on rõhutada, et Google'il pole selle operatsiooniga mingit seost ning pettuses kasutatud veebisait ei ole seotud ühegi legitiimse e-posti teenuse ega dokumentide jagamise platvormiga.

Hoiatusmärgid, mis paljastavad pettuse

Nende meilide petturlikku olemust paljastavad mitmed näitajad. Sõnum tekitab ebavajalikku kiireloomulisust aeguva dokumendi teate kaudu, nõuab tegutsemist tundmatu välise lingi kaudu ja suunab saajad sisselogimislehele, mis ei ole seotud ühegi seadusliku teenusega. Nõue sisestada e-posti mandaat jagatud dokumendi vaatamiseks on veel üks oluline ohumärk.

Kasutajad peaksid alati saatja isiku kontrollima, enne klõpsamist linke hoolikalt uurima ja suhtuma soovimatutesse dokumentide jagamise teadetesse kahtlustavalt, eriti kui need nõuavad viivitamatut tegutsemist.

Enam kui lihtsalt volituste vargus: pahavara oht

Kuigi see konkreetne kampaania keskendub sisselogimisandmete varastamisele, kasutatakse sarnaseid petukirju sageli pahavara levitamiseks. Küberkurjategijad levitavad pahatahtlikku tarkvara sageli rämpsposti teel, mis sisaldab nakatunud manuseid või linke kahjulikele veebisaitidele.

Levinud pahatahtlike failitüüpide hulka kuuluvad käivitatavad programmid, tihendatud arhiivid, PDF-failid ja Microsoft Office'i dokumendid. Mõnel juhul võib faili avamine käivitada pahatahtliku koodi. Teistel juhtudel võidakse adressaatidel paluda lubada makrod või alla laadida lisasisu, mis käivitab nakatumisprotsessi.

Õngitsuskirjadesse manustatud lingid võivad kasutajaid suunata ka veebisaitidele, mis laadivad automaatselt alla pahavara või julgustavad neid ohtlikke faile käsitsi käivitama.

Kuidas neile meilidele vastata

Kui postkasti saabub e-kiri pealkirjaga „Turvaline dokument ülevaatamiseks”, on kõige turvalisem toimimisviis lihtne:

• Ärge klõpsake sõnumis sisalduvatel linkidel ega nuppudel.
• Ärge sisestage sisselogimisandmeid ühelegi lehele, millele e-posti teel pääsete.
• Kustuta e-kiri ja märgi see võimalusel andmepüügiks või rämpspostiks.
• Kui volitused on juba esitatud, muutke kohe konto paroole.

Lõplik hindamine

E-kiri pealkirjaga „Turvaline dokument ülevaatamiseks” on andmepüügipettus, mis on maskeeritud dokumendi jagamise teavituseks. See väidab valesti, et konfidentsiaalne lepingudokument ootab ülevaatamist ja suunab saajad võltsitud sisselogimislehele, mis asub aadressil esnad-fls(dot)com. Eesmärk on varastada e-posti konto volitusi, mida saab seejärel kasutada konto ülevõtmiseks, identiteedivarguseks ja muudeks küberkuritegevuseks. Saajad peaksid vältima e-kirjaga suhtlemist, hoiduma linkidele klõpsamisest ja sõnumi viivitamatult kustutama.