کلاهبرداری ایمیلی بهروزرسانی وضعیت DHL Express Commerce
محققان امنیت سایبری ایمیلهای بهروزرسانی وضعیت DHL Express Commerce را تجزیه و تحلیل کرده و مشخص کردهاند که این ایمیلها پیامهای فیشینگ هستند که برای سرقت اطلاعات ورود کاربران طراحی شدهاند. این ایمیلها به عنوان اعلانهای قانونی از DHL Express Commerce ظاهر میشوند و به دروغ به گیرندگان اطلاع میدهند که سه سند با آنها به اشتراک گذاشته شده است.
این پیامها معمولاً با عنوان «DHL Express Commerce» ارسال میشوند و با دقت طوری طراحی شدهاند که شبیه اعلانهای یک پلتفرم اشتراکگذاری اسناد باشند. برای افزایش اعتبار، ایمیلها خطی را نمایش میدهند که به نظر میرسد یک پیوست با نام «DHL Express Invoice Payment.docx» است. با این حال، این یک پیوست فایل واقعی نیست. در عوض، یک عنصر قابل کلیک است که برای فریب گیرندگان جهت تعامل با ایمیل ایجاد شده است.
طبق محتوای پیام، سیستم سه سند را که با گیرنده به اشتراک گذاشته شده است شناسایی کرده و ظاهراً بلافاصله میتوان به آنها دسترسی پیدا کرد.
فهرست مطالب
تله پورتال اسناد جعلی
این کلاهبرداری به متقاعد کردن گیرندگان برای کلیک روی پیوست جعلی یا دکمه «مشاهده اسناد» متکی است. صرف نظر از اینکه کدام گزینه انتخاب شود، هر دو کاربر را به یک مقصد جعلی هدایت میکنند.
صفحه لینکشده روی پلتفرم ذخیرهسازی فایربیس گوگل میزبانی میشود. اگرچه فایربیس یک سرویس میزبانی ابری قانونی است، مجرمان سایبری اغلب از پلتفرمهای معتبر برای میزبانی محتوای مخرب سوءاستفاده میکنند، زیرا چنین دامنههایی اغلب قابل اعتماد به نظر میرسند و ممکن است از فیلترهای امنیتی اولیه عبور کنند.
به محض اینکه بازدیدکنندگان به صفحه مورد نظر میرسند، با یک فرم ورود جعلی DHL Express مواجه میشوند که درخواست آدرس ایمیل و رمز عبور میکند. برخلاف ظاهرش، این صفحه هیچ ارتباطی با DHL ندارد. هرگونه اطلاعات کاربری وارد شده در فرم، مستقیماً به کلاهبردارانی که این کمپین را اجرا میکنند، ارسال میشود.
چرا اعتبارنامههای دزدیده شده بسیار ارزشمند هستند؟
اطلاعات ورود به سیستم از جمله داراییهای مورد توجه مجرمان سایبری است. بسیاری از افراد از یک رمز عبور برای چندین حساب آنلاین خود استفاده میکنند و همین امر باعث میشود که یک مجموعه اطلاعات ورود به سیستم که به خطر افتاده است، بسیار ارزشمند باشد.
وقتی مهاجمان از طریق کمپینهای فیشینگ اطلاعات ورود به سیستم را به دست میآورند، اغلب این اعتبارنامهها را در سرویسهای مختلف، از جمله پلتفرمهای ایمیل، سایتهای خرید، حسابهای ذخیرهسازی ابری و شبکههای اجتماعی آزمایش میکنند. نفوذ موفقیتآمیز به حسابها میتواند منجر به خریدهای غیرمجاز، سرقت هویت، تصاحب حساب، ضررهای مالی و از دست دادن دسترسی به سرویسهای مهم آنلاین شود.
به همین دلیل، گیرندگان هرگز نباید بدون تأیید اولیه مشروعیت پیام و مقصد، اطلاعات کاربری خود را در وبسایتهایی که از طریق ایمیلهای ناخواسته به آنها دسترسی پیدا شده است، وارد کنند.
علائم هشدار دهنده که کلاهبرداری را آشکار می کنند
چندین شاخص ماهیت کلاهبرداری این ایمیلها را آشکار میکند:
- این پیام ادعا میکند که اسناد به طور غیرمنتظرهای به اشتراک گذاشته شدهاند و کاربر را به تعامل فوری تشویق میکند.
- عبارت «DHL Express Invoice Payment.docx» که نمایش داده میشود، صرفاً یک فریب قابل کلیک است و نه یک پیوست واقعی.
- هر دو عنصر قابل کلیک به جای یک سرویس اشتراکگذاری اسناد قانونی، به یک صفحه ورود یکسان منتهی میشوند.
- این وبسایت علیرغم اینکه هیچ ارتباط قانونی با DHL ندارد، درخواست اطلاعات احراز هویت ایمیل میکند.
- این ارتباط تلاش میکند تا از اعتبار یک برند معتبر برای جلب اعتماد گیرنده استفاده کند.
ارتباط بالقوه بدافزار
کمپینهای فیشینگ همیشه به سرقت اطلاعات حساب کاربری محدود نمیشوند. در برخی موارد، از ایمیلهای اسپم مشابه برای توزیع بدافزار نیز استفاده میشود.
مجرمان سایبری معمولاً فایلهای مخرب را به عنوان فاکتورها، اعلانهای حمل و نقل، تأییدیههای پرداخت، قراردادها یا سایر اسناد تجاری معمول پنهان میکنند. این فایلهای مضر ممکن است به عنوان برنامههای اجرایی، بایگانیهای فشرده، اسناد PDF، اسکریپتها یا فایلهای مایکروسافت آفیس حاوی کد مخرب جاسازی شده ارائه شوند.
آلودگیها اغلب قبل از فعال شدن بدافزار، به نوعی تعامل با کاربر نیاز دارند. باز کردن یک پیوست مخرب، فعال کردن ماکروها، اجرای یک فایل دانلود شده یا کلیک روی یک لینک فریبنده میتواند فرآیند نفوذ را آغاز کند. احتیاط در برخورد با ایمیلهای ناخواسته، احتمال آلودگی را به میزان قابل توجهی کاهش میدهد.
چگونه در صورت دریافت ایمیل پاسخ دهیم
اگر این ایمیل در صندوق ورودی ظاهر شد، امنترین روش این است که از تعامل با هرگونه لینک، دکمه یا پیوست موجود در آن خودداری کنید. پیام باید فوراً حذف شود. افرادی که قبلاً اعتبارنامههای خود را از طریق صفحه ورود جعلی ارسال کردهاند، باید بدون تأخیر رمزهای عبور آسیبدیده را تغییر دهند و هر حساب دیگری را که از همان اعتبارنامهها استفاده میکند، بهروزرسانی کنند. فعال کردن احراز هویت چند عاملی در هر کجا که ممکن است میتواند یک لایه محافظتی اضافی در برابر دسترسی غیرمجاز ایجاد کند.
ارزیابی نهایی
ایمیل بهروزرسانی وضعیت DHL Express Commerce یک کلاهبرداری فیشینگ است که برای جمعآوری اطلاعات ورود به سیستم با جعل هویت DHL Express Commerce طراحی شده است. خط پیوست جعلی و دکمه «مشاهده اسناد» هر دو کاربران را به همان صفحه ورود جعلی هدایت میکنند که از طریق یک سرویس ابری سوءاستفادهشده میزبانی میشود. از آنجایی که این کمپین هیچ وابستگی به DHL یا هیچ سازمان قانونی ندارد، گیرندگان باید این پیامها را به عنوان مخرب تلقی کنند، از هرگونه تعامل با محتوای آنها خودداری کنند و فوراً آنها را از صندوق ورودی خود حذف کنند.
System Messages
The following system messages may be associated with کلاهبرداری ایمیلی بهروزرسانی وضعیت DHL Express Commerce:
Subject: DHL Express Commerce |