کلاهبرداری ایمیلی سفارش شما در راه است
ایمیلهای غیرمنتظرهای که شامل خرید، تحویل یا فعالیت حساب کاربری میشوند، باید همیشه با احتیاط مورد بررسی قرار گیرند. مجرمان سایبری اغلب پیامهای مخرب را به عنوان ارتباطات تجاری مشروع پنهان میکنند تا گیرندگان را بدون تأیید به اقدام وادار کنند. کمپین ایمیلی «سفارش شما در راه است» یکی از این نمونههاست. تجزیه و تحلیل دقیق تأیید کرده است که این ایمیلها، پیامهای اسپم مخرب هستند و به هیچ شرکت، ارائهدهنده حمل و نقل، خردهفروش یا سازمان مشروعی مرتبط نیستند.
فهرست مطالب
اعلانهای ارسال جعلی که برای ایجاد فوریت طراحی شدهاند
ایمیلهای «سفارش شما در راه است» طوری طراحی میشوند که شبیه اعلانهای ارسال واقعی باشند. آنها معمولاً با عنوانهایی حاوی شماره سفارش و کدهای مرجع ارسال میشوند تا پیامها معتبر و حرفهای به نظر برسند.
به گیرندگان اطلاع داده میشود که بستهشان ظاهراً ارسال شده است و تشویق میشوند برای دسترسی به اطلاعات ردیابی و بهروزرسانیهای تحویل، روی دکمه «مشاهده جزئیات ارسال» کلیک کنند. این عبارت عمداً طوری طراحی شده است که کنجکاوی و فوریت را برانگیزد و احتمال اینکه گیرندگان بدون بررسی دقیق پیام، با لینک ارائه شده تعامل کنند را افزایش دهد.
در واقع، این ایمیلها هیچ ارتباطی با خرید یا ارسال واقعی ندارند. تنها هدف آنها هدایت گیرندگان به یک وبسایت مخرب است که برای آلوده کردن سیستمها به بدافزار طراحی شده است.
وبسایت مخرب پشت این کلاهبرداری
کلیک روی لینک جاسازیشده، کاربران را به یک صفحه جعلی که در increminder.com میزبانی میشود، هدایت میکند. این سایت به گونهای طراحی شده است که شبیه یک پورتال مدیریت سفارش یا ارسال کالا باشد و توهم مشروعیت را بیشتر تقویت میکند.
این صفحه وب ادعا میکند که اطلاعات ارسال پردازش شده و جزئیات سفارش برای دانلود در دسترس است. همچنین هشدار میدهد که ممکن است برای دریافت بسته، فایل دانلود شده لازم باشد، یک تاکتیک روانشناختی که برای تحت فشار قرار دادن بازدیدکنندگان جهت دانلود در نظر گرفته شده است.
این سایت به جای ارائه اطلاعات ردیابی یا مستندات سفارش، یک فایل مخرب با نام 'ScreenConnect.ClientSetup.msi' ارائه میدهد. این فایل به عنوان یک نصبکننده معمولی ویندوز ارائه میشود اما در واقع حاوی یک نسخه تروجانشده از ScreenConnect است.
نرمافزار دسترسی از راه دور آلوده به تروجان، خطرات جدی را به همراه دارد
خود ScreenConnect یک نرمافزار دسکتاپ از راه دور قانونی است که توسط ConnectWise توسعه داده شده و معمولاً توسط متخصصان پشتیبانی فناوری اطلاعات برای کمک از راه دور و مدیریت سیستم استفاده میشود. با این حال، مجرمان سایبری اغلب با تغییر آنها و توزیع نسخههای مخرب قادر به اعطای دسترسی از راه دور غیرمجاز به دستگاههای قربانیان، از چنین ابزارهایی سوءاستفاده میکنند.
پس از اجرای نصبکنندهی مخرب، ابزار دسترسی از راه دور میتواند بیسروصدا و بدون جلب توجه در پسزمینه فعالیت کند. سپس مهاجمان ممکن است کنترل گستردهای بر سیستم آسیبدیده به دست آورند و طیف گستردهای از فعالیتهای مخرب، از جمله موارد زیر را انجام دهند:
- سرقت فایلهای محرمانه و اطلاعات محرمانه ذخیره شده
- نظارت بر فعالیت کاربران و جمعآوری اطلاعات حساس
- نصب بدافزارهای اضافی مانند باجافزار یا جاسوسافزار
- انجام تراکنشهای کلاهبرداری یا سوءاستفاده از حسابهای آنلاین
از آنجا که این بدافزار دسترسی از راه دور مداوم را فراهم میکند، سیستمهای آسیبدیده باید کاملاً در معرض خطر در نظر گرفته شوند.
چگونه کمپینهای Malspam بدافزار منتشر میکنند
کمپینهای هرزنامه اغلب بدافزارها را از طریق پیوستهای مخرب یا از طریق لینکهایی که به وبسایتهای مضر منتهی میشوند، توزیع میکنند. در بسیاری از موارد، این فایلها به عنوان فاکتور، رسید، اسناد حمل و نقل یا صورتحسابها پنهان میشوند تا گیرندگان را تشویق کنند که بدون هیچ گونه سوءظنی آنها را باز کنند.
در این کمپین، مهاجمان به جای یک پیوست مستقیم، به یک لینک مخرب متکی هستند. گیرندگانی که لینک را دنبال میکنند به پورتال سفارش جعلی هدایت میشوند، جایی که برای دانلود فایل نصب آلوده دستکاری میشوند. پس از اجرا، بدافزار قابلیتهای دسترسی از راه دور را ایجاد میکند، در حالی که تا حد زیادی برای قربانی نامرئی باقی میماند.
این روش به مهاجمان اجازه میدهد تا برخی از فیلترهای امنیتی ایمیل را دور بزنند، زیرا بار دادهی مخرب به جای اینکه مستقیماً به ایمیل پیوست شود، به صورت خارجی میزبانی میشود.
اقدامات فوری برای کاربران آسیبدیده
هر کسی که فایل نصب 'ScreenConnect.ClientSetup.msi' را دانلود یا اجرا کرده است، باید فرض کند که دسترسی غیرمجاز به سیستم ممکن است قبلاً رخ داده باشد. برای به حداقل رساندن آسیبهای احتمالی، اکیداً توصیه میشود فوراً اقدام کنید.
یک اسکن کامل آنتی ویروس یا ضد بدافزار باید بدون تأخیر انجام شود و تمام رمزهای عبور حساس مرتبط با دستگاه آسیب دیده باید از یک سیستم جداگانه و امن تغییر داده شوند. حسابهای مالی، حسابهای ایمیل و ورود به سیستم تجاری نیز باید برای فعالیتهای مشکوک تحت نظر قرار گیرند.
خود ایمیل مخرب باید فوراً حذف شود و گیرندگان باید از کلیک روی هرگونه لینک یا دانلود هرگونه فایل مرتبط با پیام خودداری کنند.
محافظت در برابر کلاهبرداریهای مربوط به تحویل کالا
کمپینهای فیشینگ و بدافزار با موضوع تحویل بسته، همچنان بسیار مؤثر هستند، زیرا از عادات رایج خرید آنلاین و انتظار بهروزرسانی بستهها سوءاستفاده میکنند. مهاجمان قبل از ارزیابی دقیق مشروعیت پیام، به واکنش سریع گیرندگان متکی هستند.
کاربران میتوانند با تأیید اعلانهای ارسال کالا مستقیماً از طریق وبسایتهای رسمی خردهفروشان یا پیکها، اجتناب از دانلود ایمیلهای ناخواسته و برخورد بدبینانه با هشدارهای تحویل غیرمنتظره، میزان مواجهه با این تهدیدات را کاهش دهند. حتی ایمیلهایی که ظاهری آراسته و حرفهای دارند، ممکن است تهدیدات امنیتی جدی را در زیر برندسازی متقاعدکننده و زبان اضطراری پنهان کنند.
System Messages
The following system messages may be associated with کلاهبرداری ایمیلی سفارش شما در راه است:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
