Verkkotunnuksen omistajuuden uudelleenvahvistus vaaditaan - sähköpostihuijaus

Odottamattomiin sähköposteihin, jotka vaativat kiireellisiä toimia, tulee aina suhtautua varoen. Kyberrikolliset esiintyvät usein luotettavina organisaatioina ja sääntelyeliminä luodakseen väärän kiireellisyyden tunteen ja painostaakseen vastaanottajia tekemään hätäisiä päätöksiä. ”Verkkotunnuksen omistajuuden uudelleenvahvistus vaaditaan” -sähköpostit ovat erinomainen esimerkki tästä taktiikasta. Tietoturvatutkijat ovat tunnistaneet nämä viestit osaksi tietojenkalastelukampanjaa, jonka tarkoituksena on varastaa sähköpostitilin tunnistetiedot. On tärkeää huomata, että näitä sähköposteja ei ole yhdistetty mihinkään lailliseen yritykseen, organisaatioon, verkkotunnusten rekisteröijään tai sääntelyviranomaiseen.

Naamioitu viralliseksi vaatimustenmukaisuusilmoitukseksi

Huijaussähköpostit on muotoiltu muistuttamaan virallisia verkkotunnusten vaatimustenmukaisuusilmoituksia. Vastaanottajille ilmoitetaan, että heidän verkkotunnuksen omistajuuttaan ei ole vahvistettu uudelleen viimeisen 90 päivän aikana ja että toimien toteuttaminen on välttämätöntä väitettyjen määräysten noudattamiseksi. Viesteissä viitataan "ICANN-määräykseen 3.18" ja varoitetaan, että vahvistusprosessin laiminlyönti johtaa sekä saapuvien että lähtevien sähköpostipalveluiden keskeyttämiseen seitsemän päivän kuluessa.

Sähköpostin kielenkäyttö on tarkoitettu herättämään huolta ja kiireellisyyttä. Uhkaamalla palvelukatkoksilla huijarit yrittävät saada vastaanottajat toimimaan välittömästi varmistamatta viestin aitoutta.

Väärennetty uudelleenvalidointiprosessi

Huijauksen keskiössä on painike, jossa on tyypillisesti teksti "Vahvista verkkotunnus nyt". Tämän painikkeen napsauttaminen ohjaa käyttäjät vilpilliselle webmail-kirjautumissivulle, joka naamioituu lailliseksi sähköpostipalveluportaaliksi.

Tietojenkalastelusivu jäljittelee Roundcube Webmailin kirjautumisnäyttöä ja sitä ylläpidetään Googlen Firebase Storage -alustalla. Jotta sivu näyttäisi vakuuttavammalta, uhrin sähköpostiosoite saattaa olla jo täytetty automaattisesti. Käyttäjiä pyydetään sitten antamaan salasanansa jatkaakseen oletettua vahvistusprosessia.

Todellisuudessa sivulla on vain yksi tarkoitus: kerätä kirjautumistiedot ja lähettää ne suoraan hyökkääjille.

Mitä tapahtuu, kun tunnistetiedot varastetaan?

Vaarantuneet sähköpostitilit voivat antaa kyberrikollisille pääsyn merkittävään määrään henkilökohtaisia ja liiketoimintaan liittyviä tietoja. Koska sähköpostitilit on usein linkitetty useisiin verkkopalveluihin, hyökkääjät voivat hyödyntää varastettuja tunnistetietoja laajentaakseen pääsyään entisestään.

Kun sähköpostitili on saatu hallintaansa, rikolliset voivat:

• Lue luottamuksellisia viestejä ja arkaluonteisia yhteydenottoja.
• Nollaa linkitettyjen verkkotilien salasanat.
• Esiinny uhrina viestinnässä kollegoiden, asiakkaiden, ystävien tai perheenjäsenten kanssa.

• Levitä lisää tietojenkalastelusähköposteja luotettavalta tililtä.

• Kerää henkilötietoja identiteettivarkautta tai talouspetoksia varten.

Koska sähköpostitilit toimivat usein ensisijaisena palautustapana muille palveluille, yksi vaarantunut postilaatikko voi johtaa useiden tilien kaappauksiin.

Miksi väitteet ovat vääriä

Useat indikaattorit paljastavat näiden sähköpostien vilpillisen luonteen. Viesteissä yritetään hyödyntää Internet Corporation for Assigned Names and Numbersin, joka tunnetaan yleisesti nimellä ICANN, auktoriteettia väittämällä virheellisesti, että verkkotunnusten uudelleenvahvistusta valvotaan suorien sähköposti-ilmoitusten avulla.

Todellisuudessa ICANN ei ota yhteyttä yksittäisiin käyttäjiin pyytämättömien viestien kautta, joissa vaaditaan verkkotunnuksen uudelleenvahvistusta. Lisäksi mikään laillinen verkkotunnusten myöntäjä tai hyvämaineinen palveluntarjoaja ei vaadi käyttäjiä vahvistamaan kirjautumistietoja odottamattomaan sähköpostiin upotetun linkin kautta.

Näissä viesteissä usein näkyvällä lähettäjän nimellä "Global Domain Validation Center" ei ole tunnistettua yhteyttä ICANNiin, akkreditoituihin rekisterinpitäjiin tai mihinkään lailliseen verkkotunnusten hallintaorganisaatioon. Koko skenaario on keksitty uskottavuuden luomiseksi ja vastaanottajien harhauttamiseksi.

Laajempi uhka kuin valtakirjavarkaudet

Vaikka tämän kampanjan ensisijainen tavoite on tunnistetietojen kerääminen, vastaavia huijaussähköposteja käytetään usein myös haittaohjelmien levittämiseen. Uhkatoimijat käyttävät usein sähköpostipohjaisia hyökkäyksiä toimittaakseen haittaohjelmia potentiaalisille uhreille.

Haittaohjelmiin liittyvät sähköpostit voivat sisältää tartunnan saaneita liitteitä tai linkkejä haitallisille verkkosivustoille. Näissä hyökkäyksissä käytettyjä yleisiä tiedostotyyppejä ovat suoritettavat tiedostot, PDF-dokumentit, arkistot, kuten ZIP- tai RAR-tiedostot, skriptit ja haitallista koodia sisältävät Office-dokumentit. Joissakin tapauksissa käyttäjiä pyydetään ottamaan käyttöön makroja tai muita ominaisuuksia, jotka käynnistävät tartuntaprosessin.

Useimmat sähköpostitse leviävät haittaohjelmatartunnat vaativat jonkin verran käyttäjän toimia, kuten liitteen avaamista, ladatun tiedoston käynnistämistä, haitallisen linkin napsauttamista tai upotetun sisällön käyttöönottoa. Siksi varovaisuus ja tarkistaminen ovat edelleen erittäin tärkeitä odottamattomien viestien käsittelyssä.

Kuinka vastata näihin sähköposteihin

Vastaanottajien, jotka saavat sähköpostin "Verkkotunnuksen omistajuuden uudelleenvahvistus vaaditaan", tulisi välttää viestiin reagoimista millään tavalla. Linkkejä ei tule napsauttaa, liitteitä ei tule avata eikä henkilötietoja tule koskaan lähettää ei-toivottujen sähköpostien kautta tulleiden sivujen kautta.

Turvallisin toimintatapa on poistaa sähköposti välittömästi. Henkilöiden, jotka ovat jo syöttäneet tunnistetietonsa tietojenkalastelusivulle, tulisi vaihtaa sähköpostisalasanansa viipymättä, päivittää kaikkien samoja tunnistetietoja käyttävien tilien salasanat ja ottaa käyttöön monivaiheinen todennus aina kun mahdollista.

Loppuajatukset

”Verkkotunnuksen omistajuuden uudelleenvahvistus vaaditaan” -sähköpostikampanja on tietojenkalasteluhuijaus, joka naamioituu ICANN:iin liittyväksi vaatimustenmukaisuusilmoitukseksi. Sen tarkoituksena on huijata vastaanottajia luovuttamaan sähköpostitilinsä tunnistetiedot vilpillisen webmail-kirjautumissivun kautta. Viestit perustuvat pelkoon, kiireellisyyteen ja vääriin sääntelyväitteisiin, joilla manipuloidaan uhreja toimimaan ilman asianmukaista vahvistusta.

Näiden huijausten toimintatavan ymmärtäminen on olennaista arkaluonteisten tietojen suojaamiseksi. Suhtautumalla skeptisesti odottamattomiin pyyntöihin, tarkistamalla väitteet virallisten kanavien kautta ja välttämällä ei-toivotuissa sähköposteissa olevia linkkejä käyttäjät voivat merkittävästi vähentää riskiään joutua tunnistetietojen varkauden ja muiden kyberuhkien uhreiksi.