DocuSign - کلاهبرداری ایمیلی اسناد وزارت حقوقی
ایمیلهای غیرمنتظره میتوانند خطرات امنیتی سایبری قابل توجهی ایجاد کنند، به خصوص زمانی که حس فوریت ایجاد میکنند و به نظر میرسد از برندهای معتبر ارسال شدهاند. مجرمان سایبری اغلب از شرکتهای شناخته شده سوءاستفاده میکنند تا پیامهای جعلی را قانعکننده جلوه دهند و احتمال تعامل گیرندگان با آنها را افزایش دهند. کلاهبرداری ایمیلی «DocuSign - اسناد بخش حقوقی» یکی از این نمونههاست. این ایمیلها با DocuSign یا هیچ شرکت، سازمان یا نهاد قانونی مرتبط نیستند. در عوض، آنها بخشی از یک کمپین اسپم مخرب هستند که برای توزیع بدافزار طراحی شدهاند.
فهرست مطالب
درخواست سند حقوقی جعلی
محققان امنیت سایبری این ایمیلها را تجزیه و تحلیل کرده و آنها را به عنوان پیامهای اسپم شناسایی کردهاند که برای فریب گیرندگان جهت دانلود نرمافزارهای مخرب طراحی شدهاند. این ایمیلها معمولاً با عنوان «شناسه ثبت مقررات زنجیره تأمین #SCR-392847» ارسال میشوند و ادعا میشود که از بخش حقوقی DocuSign ارسال شدهاند.
طبق این پیام، سندی برای امضای الکترونیکی ارسال شده است و باید ظرف سه روز بررسی شود. برای تقویت توهم مشروعیت، ایمیل حاوی یک دکمه برجسته «بررسی سند» است و یک «روش امضای جایگزین» همراه با یک کد امنیتی ارائه میدهد. این عناصر با دقت طراحی شدهاند تا درخواست معتبر و قابل اعتماد به نظر برسد.
اگرچه DocuSign یک پلتفرم امضای الکترونیکی قانونی است، اما هیچ ارتباطی با این کمپین ندارد. علاوه بر این، آدرس ایمیل فرستنده از یک دامنه شخص ثالث نامرتبط سرچشمه میگیرد و نه از خود DocuSign.
هدف واقعی پشت ایمیل
هدف نهایی این کلاهبرداری، ترغیب گیرندگان به دانلود یک فایل ایمیج دیسک ISO مخرب است. چه قربانیان روی دکمه ارائه شده کلیک کنند و چه دستورالعملهای جایگزین را دنبال کنند، به سمت دریافت فایل مخرب هدایت میشوند.
فایلهای ISO میتوانند مستقیماً توسط ویندوز به عنوان درایوهای مجازی نصب شوند و این آنها را به ابزارهای جذابی برای مجرمان سایبری تبدیل میکند. مهاجمان اغلب از این فرمت استفاده میکنند زیرا گاهی اوقات میتوانند فیلترهای امنیتی را که در غیر این صورت پیوستهای مخرب آشکارتر را مسدود میکنند، دور بزنند.
پس از نصب فایل ISO، یک فایل اجرایی با نام زیر نمایش داده میشود:
'قرارداد_NDA_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'
نام فایل عمداً فریبنده است. گنجاندن «.DOC» به گونهای طراحی شده است که فایل را یک سند بیضرر مایکروسافت ورد جلوه دهد. در واقع، پسوند «.exe» نهایی آن را به عنوان یک برنامه اجرایی که قادر به اجرای کد در رایانه قربانی است، شناسایی میکند.
بعد از باز شدن فایل چه اتفاقی میافتد؟
بدافزار دقیق منتقلشده از طریق این کمپین بهطور قطعی شناسایی نشده است. با این حال، این فایل ممکن است انواع تهدیدات خطرناک، از جمله باجافزار، تروجانهای بانکی، سارقان اطلاعات حساب، کیلاگرها، تروجانهای دسترسی از راه دور (RAT) یا سایر اشکال نرمافزارهای مخرب را نصب کند.
عواقب بالقوه عبارتند از:
- سرقت نامهای کاربری، رمزهای عبور و اطلاعات مالی
- سرقت هویت، ضررهای مالی، دسترسی غیرمجاز به سیستم و رمزگذاری دادهها
از آنجا که قابلیتهای این بدافزار ناشناخته باقی مانده است، هرگونه تعامل با فایل اجرایی باید به عنوان یک حادثه امنیتی جدی تلقی شود.
علائم هشدار دهنده که کلاهبرداری را آشکار می کنند
علیرغم ظاهر متقاعدکننده پیام، چندین شاخص نشاندهنده فعالیت کلاهبرداری است. این ایمیل با تعیین مهلت سه روزه برای بررسی اسناد، به شدت بر فوریت تأکید دارد. همچنین به یک شناسه ثبت قانونی اشاره میکند تا حس اهمیت را ایجاد کند و گیرندگان را تحت فشار قرار دهد تا بدون تأیید درخواست، سریعاً اقدام کنند.
استفاده از یک نام تجاری معتبر مانند DocuSign یکی دیگر از تاکتیکهای رایج مهندسی اجتماعی است. مجرمان سایبری میدانند که کاربران بیشتر به سرویسهای آشنا اعتماد میکنند، به خصوص زمانی که پیام حرفهای به نظر میرسد و حاوی جزئیاتی مانند کدهای تأیید یا دستورالعملهای امضا است.
اگر این ایمیل را دریافت کردید چه باید کرد؟
گیرندگان باید از هرگونه تعامل با پیام خودداری کنند. امنترین رویکرد این است که ایمیل را فوراً حذف کنند و از باز کردن پیوستها، کلیک روی لینکها، دانلود فایلها یا دنبال کردن هرگونه دستورالعمل موجود در پیام خودداری کنند.
افرادی که قبلاً این فایل را دانلود یا اجرا کردهاند، باید در صورت امکان دستگاه آسیبدیده را از شبکه جدا کرده و با استفاده از یک آنتیویروس معتبر یا نرمافزار امنیتی Endpoint، اسکن جامعی انجام دهند. هرگونه رمز عبور احتمالی که ممکن است در معرض خطر باشد نیز باید از یک دستگاه پاک تغییر داده شود، بهویژه اگر حسابهای حساس در معرض خطر قرار گرفته باشند.
چگونه کمپینهای اسپم، بدافزارها را پخش میکنند
کمپین با تم DocuSign تنها یک نمونه از روند گستردهتر در جرایم سایبری است. ایمیلهای اسپم مخرب همچنان یکی از رایجترین روشها برای توزیع بدافزار هستند. مهاجمان به طور معمول محتوای مضر را در قالب فاکتورها، اطلاعیههای قانونی، بهروزرسانیهای تحویل، هشدارهای حساب یا اسناد تجاری پنهان میکنند.
قالبهای رایج انتقال بدافزار شامل آرشیوهای ZIP و RAR، فایلهای اجرایی، اسناد PDF، فایلهای مایکروسافت آفیس، اسکریپتها و قالبهای تصویر دیسک مانند فایلهای ISO و IMG است. برخی از فایلهای مخرب به محض باز شدن، فرآیند آلودگی را آغاز میکنند، در حالی که برخی دیگر نیاز به اقدامات اضافی کاربر مانند فعال کردن ماکروها، استخراج محتوای آرشیو شده یا اجرای فایلهای اجرایی جاسازی شده دارند.
نکات پایانی
کلاهبرداری ایمیلی «DocuSign - اسناد وزارت حقوقی» نشان میدهد که چگونه مجرمان سایبری جعل هویت برند معتبر، پیامرسانی با مضامین حقوقی و فوریت مصنوعی را برای فریب قربانیان به منظور اجرای بدافزار ترکیب میکنند. اگرچه این پیام در نگاه اول ممکن است معتبر به نظر برسد، اما هدف واقعی آن آلوده کردن سیستمها و به خطر انداختن بالقوه اطلاعات حساس است. حفظ رویکردی محتاطانه در قبال ایمیلهای ناخواسته، به ویژه ایمیلهایی که درخواست اقدام فوری یا دانلود فایل دارند، همچنان یکی از مؤثرترین دفاعها در برابر چنین تهدیدهایی است.
System Messages
The following system messages may be associated with DocuSign - کلاهبرداری ایمیلی اسناد وزارت حقوقی:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |