Teie tellimus on teel. Meilipettus.

Ootamatutesse e-kirjadesse, mis puudutavad oste, tarneid või kontotegevust, tuleks alati suhtuda ettevaatlikult. Küberkurjategijad varjavad pahatahtlikke sõnumeid sageli seadusliku ärisuhtlusena, püüdes avaldada vastuvõtjatele survet tegutseda ilma kinnituseta. Üks selline näide on e-posti kampaania „Teie tellimus on teel“. Põhjalik analüüs on kinnitanud, et need e-kirjad on pahatahtlikud rämpspostisõnumid ega ole seotud ühegi seadusliku ettevõtte, saatmisteenuse pakkuja, jaemüüja ega organisatsiooniga.

Võltsitud saatmisteated, mis on loodud kiireloomulisuse tekitamiseks

„Teie tellimus on teel” meilid on koostatud nii, et need meenutaksid autentseid saadetisteateid. Tavaliselt saabuvad need teemareal, mis sisaldab tellimuse numbrit ja viitekoodi, et sõnumid tunduksid usaldusväärsed ja professionaalsed.

Saajatele teatatakse, et nende pakk on väidetavalt teele saadetud, ja neil soovitatakse jälgimisteabe ja kohaletoimetamise värskenduste nägemiseks klõpsata nupul „Kuva saatmisandmed“. Selline sõnastus on tahtlikult loodud uudishimu ja pakilisuse tekitamiseks, suurendades tõenäosust, et saajad suhtlevad antud lingiga ilma sõnumit hoolikalt uurimata.

Tegelikkuses ei ole meilid seotud ühegi päris ostu ega saadetisega. Nende ainus eesmärk on suunata saajad pahatahtlikule veebisaidile, mis on loodud süsteemide nakatamiseks pahavaraga.

Pahatahtlik veebisait pettuse taga

Manustatud lingile klõpsamine suunab kasutajad petturlikule lehele, mis asub increminder.com-is. Sait on kujundatud tellimuste haldamise või saatmisportaali sarnaseks, mis tugevdab veelgi legitiimsuse illusiooni.

Veebileht väidab, et saadetise teave on töödeldud ja et tellimuse üksikasjad on allalaadimiseks saadaval. Samuti hoiatatakse, et paki kättesaamiseks võib olla vaja allalaaditud faili – see on psühholoogiline taktika, mille eesmärk on avaldada külastajatele survet allalaadimise jätkamiseks.

Jälgimisteabe või tellimuse dokumentatsiooni asemel kuvab sait pahatahtliku faili nimega „ScreenConnect.ClientSetup.msi”. See fail esitletakse tavalise Windowsi installijana, kuid tegelikult sisaldab see ScreenConnecti troojalase versiooni.

Trooja nakatatud kaugjuurdepääsu tarkvara kujutab endast tõsiseid ohte

ScreenConnect ise on ConnectWise'i loodud legitiimne kaugtöölaua tarkvara, mida IT-toe spetsialistid tavaliselt kasutavad kaugabi ja süsteemihalduse pakkumiseks. Küberkurjategijad kuritarvitavad aga selliseid tööriistu sageli, muutes neid ja levitades relvastatud versioone, mis on võimelised andma volitamata kaugjuurdepääsu ohvrite seadmetele.

Kui pahatahtlik installiprogramm on käivitatud, saab kaugjuurdepääsu tööriist vaikselt taustal töötada ilma tähelepanu äratamata. Ründajad võivad seejärel saada ulatusliku kontrolli nakatunud süsteemi üle ja teha mitmesuguseid pahatahtlikke tegevusi, sealhulgas:

• Konfidentsiaalsete failide ja salvestatud volituste varastamine
• Kasutajategevuse jälgimine ja tundliku teabe kogumine
• Täiendava pahavara, näiteks lunavara või nuhkvara installimine
• Petturlike tehingute tegemine või veebikontode kuritarvitamine

Kuna pahavara pakub püsivat kaugjuurdepääsu, tuleks mõjutatud süsteeme pidada täielikult ohustatuks.

Kuidas Malspam kampaaniad pahavara edastavad

Rämpspostikampaaniad levitavad pahavara sageli kas pahatahtlike manuste või kahjulikele veebisaitidele viivate linkide kaudu. Paljudel juhtudel on failid maskeeritud arveteks, kviitungiteks, saatedokumentideks või kontoväljavõteteks, et julgustada saajaid neid kahtlustamata avama.

Selles kampaanias tuginevad ründajad pigem pahatahtlikule lingile kui otsesele manusele. Lingile järgnevad adressaadid suunatakse võltsitud tellimisportaali, kus nad manipuleeritakse nakatunud installifaili alla laadima. Pärast käivitamist loob pahavara kaugjuurdepääsu võimalused, jäädes ohvrile suures osas nähtamatuks.

See meetod võimaldab ründajatel mööda hiilida mõnest e-posti turvafiltrist, kuna kahjulik fail majutatakse väliselt, mitte ei ole otse e-kirjaga seotud.

Mõjutatud kasutajate kohesed sammud

Igaüks, kes alla laadis või käivitas installifaili „ScreenConnect.ClientSetup.msi”, peaks eeldama, et süsteemile on juba volitamata juurdepääs toimunud. Võimaliku kahju minimeerimiseks on tungivalt soovitatav kohe tegutseda.

Viivitamatult tuleks läbi viia täielik viirusetõrje- või pahavaratõrje skannimine ning kõik kahjustatud seadmega seotud tundlikud paroolid tuleks eraldi turvalises süsteemis muuta. Samuti tuleks jälgida finantskontosid, e-posti kontosid ja ettevõtete sisselogimisi kahtlase tegevuse suhtes.

Pahatahtlik e-kiri tuleks viivitamatult kustutada ja saajad peaksid vältima sõnumiga seotud linkidele klõpsamist või failide allalaadimist.

Kaitse kohaletoimetamisega seotud pettuste eest

Kohaletoimetamisega seotud andmepüügi- ja pahavarakampaaniad on endiselt väga tõhusad, kuna need kasutavad ära levinud veebis ostlemise harjumusi ja pakivärskenduste ootust. Ründajad loodavad, et adressaadid reageerivad kiiresti, enne kui hindavad hoolikalt sõnumi õigsust.

Kasutajad saavad nende ohtude ohtu vähendada, kontrollides saadetiste teavitusi otse ametlike jaemüüjate või kullerteenuste veebisaitide kaudu, vältides soovimatute meilide kaudu allalaadimisi ja suhtudes ootamatutesse kohaletoimetamise teadetesse skeptiliselt. Isegi viimistletud ja professionaalsed meilid võivad veenva brändingu ja pakilise keele taha varjata tõsiseid turvaohte.