DHL Express Commercen tilannepäivityssähköpostihuijaus
Kyberturvallisuustutkijat ovat analysoineet DHL Express Commercen tilannepäivityssähköposteja ja havainneet, että ne ovat tietojenkalasteluviestejä, joiden tarkoituksena on varastaa käyttäjien kirjautumistiedot. Sähköpostit naamioituvat DHL Express Commercen aidoiksi ilmoituksiksi ja ilmoittavat vastaanottajille virheellisesti, että heidän kanssaan on jaettu kolme asiakirjaa.
Viestit saapuvat tyypillisesti otsikkorivillä "DHL Express Commerce", ja ne on huolellisesti muotoiltu muistuttamaan asiakirjajakoalustan ilmoituksia. Sähköpostien uskottavuuden lisäämiseksi niissä näkyy rivi, joka näyttää liitteeltä nimeltä "DHL Express Invoice Payment.docx". Kyseessä ei kuitenkaan ole varsinainen liitetiedosto. Sen sijaan se on klikattava elementti, joka on luotu houkuttelemaan vastaanottajia vuorovaikutukseen sähköpostin kanssa.
Viestin sisällön mukaan järjestelmä on havainnut kolme dokumenttia, jotka on jaettu vastaanottajan kanssa ja joihin oletettavasti päästään välittömästi käsiksi.
Sisällysluettelo
Väärennettyjen asiakirjojen portaalin ansa
Huijaus perustuu vastaanottajien suostutteluun napsauttamaan joko väärennettyä liitettä tai "Näytä asiakirjat" -painiketta. Valitusta vaihtoehdosta riippumatta molemmat ohjaavat käyttäjät samaan huijaussivustoon.
Linkitetty sivu sijaitsee Googlen Firebase Storage -alustalla. Vaikka Firebase on laillinen pilvipalvelu, kyberrikolliset käyttävät usein hyvämaineisia alustoja hyvämaineisten alustojen hyväksi haitallisen sisällön isännöintiin, koska tällaiset verkkotunnukset vaikuttavat usein luotettavilta ja saattavat kiertää perustietoturvasuodattimia.
Kun kävijät saapuvat sivulle, heille näytetään väärennetty DHL Expressin kirjautumislomake, jossa pyydetään sähköpostiosoitetta ja salasanaa. Ulkonäöstään huolimatta sivulla ei ole yhteyttä DHL:ään. Lomakkeeseen syötetyt tunnistetiedot välitetään suoraan kampanjaa ylläpitäville huijareille.
Miksi varastetut valtakirjat ovat niin arvokkaita
Kirjautumistiedot ovat kyberrikollisten halutuimpia resursseja. Monet ihmiset käyttävät samaa salasanaa useilla verkkotileillä, mikä tekee yhdestä vaarantuneesta tunnistetietojoukosta erittäin arvokkaan.
Kun hyökkääjät hankkivat kirjautumistietoja tietojenkalastelukampanjoiden kautta, he usein testaavat näitä tunnistetietoja useissa eri palveluissa, kuten sähköpostialustoilla, ostossivustoilla, pilvitallennustileillä ja sosiaalisen median verkostoissa. Onnistunut tilin murtaminen voi johtaa luvattomiin ostoksiin, identiteettivarkauksiin, tilin kaappauksiin, taloudellisiin tappioihin ja tärkeiden verkkopalveluiden käyttöoikeuden menetykseen.
Tästä syystä vastaanottajien ei tulisi koskaan antaa tunnuksiaan verkkosivustoille, joille he pääsevät pyytämättömien sähköpostien kautta, varmistamatta ensin viestin ja kohteen aitoutta.
Varoitusmerkit, jotka paljastavat huijauksen
Useat indikaattorit paljastavat näiden sähköpostien vilpillisen luonteen:
- Viestissä väitetään, että dokumentteja on jaettu odottamatta, ja kehotetaan välittömään vuorovaikutukseen.
- Näytetty 'DHL Express Invoice Payment.docx' on pikemminkin klikattava houkutus kuin aito liite.
- Molemmat klikattavat elementit johtavat samalle kirjautumissivulle laillisen dokumenttien jakamispalvelun sijaan.
- Verkkosivusto pyytää sähköpostiosoitteita, vaikka sillä ei ole laillista yhteyttä DHL:ään.
- Viestinnässä pyritään hyödyntämään luotettavan brändin mainetta vastaanottajan luottamuksen saavuttamiseksi.
Mahdollinen haittaohjelmayhteys
Tietojenkalastelukampanjat eivät aina rajoitu tunnistetietojen varastamiseen. Joissakin tapauksissa vastaavia roskapostiviestejä käytetään myös haittaohjelmien levittämiseen.
Kyberrikolliset naamioivat usein haitallisia tiedostoja laskuiksi, toimitusilmoituksiksi, maksuvahvistuksiksi, sopimuksiksi tai muiksi rutiininomaisiksi liiketoiminta-asiakirjoiksi. Nämä haitalliset tiedostot voidaan toimittaa suoritettavina ohjelmina, pakattuina arkistoina, PDF-dokumentteina, komentosarjoina tai Microsoft Office -tiedostoina, jotka sisältävät upotettua haittaohjelmakoodia.
Tartunnat vaativat usein jonkinlaista käyttäjän toimia ennen haittaohjelman aktivoitumista. Haitallisen liitteen avaaminen, makrojen käyttöönotto, ladatun tiedoston suorittaminen tai harhaanjohtavan linkin napsauttaminen voi käynnistää tartuntaprosessin. Varovaisuus ei-toivottujen sähköpostien käsittelyssä vähentää merkittävästi tartunnan todennäköisyyttä.
Kuinka vastata, jos saat sähköpostin
Jos tämä sähköpostiviesti ilmestyy postilaatikkoon, turvallisin tapa on välttää sen sisältämien linkkien, painikkeiden tai liitteiden käyttöä. Viesti tulee poistaa välittömästi. Henkilöiden, jotka ovat jo lähettäneet tunnistetietonsa väärennetyn kirjautumissivun kautta, tulee vaihtaa kyseiset salasanat viipymättä ja päivittää kaikki muut tilit, jotka käyttävät samoja tunnistetietoja. Monivaiheisen todennuksen käyttöönotto aina kun mahdollista voi tarjota lisäsuojakerroksen luvatonta pääsyä vastaan.
Loppuarviointi
DHL Express Commercen tilannepäivitysviesti on tietojenkalasteluyritys, jonka tarkoituksena on kerätä kirjautumistietoja tekeytymällä DHL Express Commerceksi. Sekä väärennetty liitetiedosto että "Näytä asiakirjat" -painike ohjaavat käyttäjät samalle vilpilliselle kirjautumissivulle, jota ylläpidetään väärinkäytetyn pilvipalvelun kautta. Koska kampanjalla ei ole mitään yhteyttä DHL:ään tai mihinkään lailliseen organisaatioon, vastaanottajien tulisi käsitellä näitä viestejä haitallisina, välttää kaikkea vuorovaikutusta niiden sisällön kanssa ja poistaa ne postilaatikoistaan välittömästi.
System Messages
The following system messages may be associated with DHL Express Commercen tilannepäivityssähköpostihuijaus:
Subject: DHL Express Commerce |