DocuSign - Lakiosaston asiakirjoja koskeva sähköpostihuijaus
Odottamattomat sähköpostit voivat aiheuttaa merkittäviä kyberturvallisuusriskejä, erityisesti silloin, kun ne luovat kiireellisyyden tunteen ja näyttävät olevan peräisin luotettavilta tuotemerkeiltä. Kyberrikolliset hyödyntävät usein tunnettuja yrityksiä saadakseen vilpilliset viestit näyttämään vakuuttavilta ja lisätäkseen todennäköisyyttä, että vastaanottajat ovat vuorovaikutuksessa niiden kanssa. Yksi tällainen esimerkki on DocuSign - Legal Department Document -sähköpostihuijaus. Nämä sähköpostit eivät liity DocuSigniin tai mihinkään lailliseen yritykseen, organisaatioon tai yhteisöön. Sen sijaan ne ovat osa haitallista roskapostikampanjaa, jonka tarkoituksena on levittää haittaohjelmia.
Sisällysluettelo
Väärennetty oikeudellinen asiakirjapyyntö
Kyberturvallisuustutkijat ovat analysoineet näitä sähköposteja ja tunnistaneet ne roskapostiksi, jonka tarkoituksena on huijata vastaanottajia lataamaan haittaohjelmia. Sähköpostit saapuvat tyypillisesti otsikolla "Supply Chain Regulatory Filing ID#SCR-392847" ja niiden väitetään olevan peräisin DocuSignin lakiosastolta.
Viestin mukaan asiakirja on lähetetty sähköistä allekirjoitusta varten ja se on tarkistettava kolmen päivän kuluessa. Oikeudellisen kuvauksen vahvistamiseksi sähköpostissa on näkyvä "Tarkista asiakirja" -painike ja "Vaihtoehtoinen allekirjoitusmenetelmä" sekä turvakoodi. Nämä elementit on huolellisesti muotoiltu, jotta pyyntö vaikuttaisi aidolta ja luotettavalta.
Vaikka DocuSign on laillinen sähköisen allekirjoituksen alusta, sillä ei ole yhteyttä tähän kampanjaan. Lisäksi lähettäjän sähköpostiosoite on peräisin ulkopuolisesta kolmannen osapuolen verkkotunnuksesta eikä itse DocuSignista.
Sähköpostin todellinen tarkoitus
Huijauksen perimmäisenä tavoitteena on saada vastaanottajat lataamaan haitallinen ISO-levykuvatiedosto. Uhrit ohjataan hankkimaan haitallinen tiedosto riippumatta siitä, napsauttavatko he annettua painiketta vai noudattavatko he vaihtoehtoisia ohjeita.
Windows voi asentaa ISO-tiedostoja suoraan virtuaaliasemiksi, mikä tekee niistä houkuttelevia työkaluja kyberrikollisille. Hyökkääjät käyttävät usein tätä muotoa, koska se voi joskus ohittaa suojaussuodattimet, jotka muuten estäisivät ilmeisemmät haitalliset liitteet.
Kun ISO-tiedosto on liitetty, se paljastaa yhden suoritettavan tiedoston nimeltä:
'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'
Tiedostonimi on tarkoituksella harhaanjohtava. '.DOC'-pääte on tarkoitettu antamaan tiedostolle vaikutelman harmittomasta Microsoft Word -dokumentista. Todellisuudessa lopullinen '.exe'-pääte tunnistaa sen suoritettavaksi ohjelmaksi, joka pystyy suorittamaan koodia uhrin tietokoneella.
Mitä tapahtuu tiedoston avaamisen jälkeen?
Tämän kampanjan kautta toimitettua tarkkaa haittaohjelmaa ei ole lopullisesti tunnistettu. Tiedosto saattaa kuitenkin asentaa useita vaarallisia uhkia, kuten kiristysohjelmia, pankkitroijalaisia, tunnistetietojen varastajia, näppäinpainallusten tallentajia, etäkäyttötroijalaisia (RAT) tai muita haittaohjelmia.
Mahdollisia seurauksia ovat:
- Käyttäjätunnusten, salasanojen ja taloudellisten tietojen varastaminen
- Identiteettivarkaudet, taloudelliset tappiot, luvaton järjestelmän käyttö ja tietojen salaus
Koska haittaohjelman ominaisuudet ovat edelleen tuntemattomia, kaikkea vuorovaikutusta suoritettavan tiedoston kanssa tulisi käsitellä vakavana tietoturvapoikkeamana.
Varoitusmerkit, jotka paljastavat huijauksen
Vaikka viesti vaikuttaa vakuuttavalta, useat merkit viittaavat vilpilliseen toimintaan. Sähköpostiviesti painottaa vahvasti kiireellisyyttä asettamalla kolmen päivän määräajan asiakirjojen tarkistukselle. Siinä myös viitataan oikeudelliseen arkistointitunnukseen luodakseen tärkeän tunteen ja painostaakseen vastaanottajia toimimaan nopeasti ilman pyynnön vahvistamista.
Luotettavan tuotemerkin, kuten DocuSignin, käyttö on toinen yleinen sosiaalisen manipuloinnin taktiikka. Kyberrikolliset ymmärtävät, että käyttäjät luottavat todennäköisemmin tuttuihin palveluihin, varsinkin jos viesti näyttää ammattimaiselta ja sisältää tietoja, kuten vahvistuskoodeja tai allekirjoitusohjeita.
Mitä tehdä, jos saat tämän sähköpostin
Vastaanottajien tulisi välttää viestiin reagoimista millään tavalla. Turvallisin tapa on poistaa sähköposti välittömästi ja pidättäytyä avaamasta liitteitä, napsauttamasta linkkejä, lataamasta tiedostoja tai noudattamasta viestissä olevia ohjeita.
Tiedoston jo ladanneiden tai suorittaneiden henkilöiden tulisi irrottaa kyseinen laite verkoista mahdollisuuksien mukaan ja suorittaa perusteellinen skannaus hyvämaineisella virustorjunta- tai päätelaitteiden tietoturvaohjelmistolla. Myös mahdolliset vaarantuneet salasanat tulisi vaihtaa puhtaalta laitteelta, erityisesti jos arkaluonteisia tilejä on saattanut paljastua.
Miten roskapostikampanjat levittävät haittaohjelmia
DocuSign-teemainen kampanja on vain yksi esimerkki laajemmasta kyberrikollisuuden trendistä. Haitalliset roskapostit ovat edelleen yksi yleisimmistä tavoista levittää haittaohjelmia. Hyökkääjät naamioivat rutiininomaisesti haitallista sisältöä laskuiksi, lakisääteisiksi ilmoituksiksi, toimituspäivityksiksi, tilihälytyksiksi tai yritysasiakirjoiksi.
Yleisiä haittaohjelmien toimitusmuotoja ovat ZIP- ja RAR-arkistot, suoritettavat tiedostot, PDF-dokumentit, Microsoft Office -tiedostot, skriptit ja levykuvatiedostot, kuten ISO- ja IMG-tiedostot. Jotkin haitalliset tiedostot aloittavat tartuntaprosessin heti, kun ne avataan, kun taas toiset vaativat käyttäjältä lisätoimia, kuten makrojen käyttöönottoa, arkistoidun sisällön purkamista tai upotettujen suoritettavien tiedostojen käynnistämistä.
Loppuajatukset
”DocuSign - Legal Department Document” -sähköpostihuijaus osoittaa, kuinka kyberrikolliset yhdistävät luotettavan brändin imitoinnin, lakiaiheisen viestinnän ja keinotekoisen kiireellisyyden houkutellakseen uhreja suorittamaan haittaohjelmia. Vaikka viesti saattaa ensi silmäyksellä näyttää aidolta, sen todellinen tarkoitus on tartuttaa järjestelmiä ja mahdollisesti vaarantaa arkaluonteisia tietoja. Varovainen lähestymistapa ei-toivottuihin sähköposteihin, erityisesti niihin, joissa pyydetään välittömiä toimia tai tiedostojen lataamista, on edelleen yksi tehokkaimmista puolustuskeinoista tällaisia uhkia vastaan.
System Messages
The following system messages may be associated with DocuSign - Lakiosaston asiakirjoja koskeva sähköpostihuijaus:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |