Tilauksesi on matkalla Sähköpostihuijaus

Odottamattomiin sähköposteihin, jotka koskevat ostoksia, toimituksia tai tilitapahtumia, tulee aina suhtautua varoen. Kyberrikolliset naamioivat usein haitallisia viestejä laillisiksi liiketoimintaviesteiksi painostaakseen vastaanottajia toimimaan ilman vahvistusta. Yksi tällainen esimerkki on "Tilauksesi on matkalla" -sähköpostikampanja. Yksityiskohtainen analyysi on vahvistanut, että nämä sähköpostit ovat haitallisia roskapostiviestejä eivätkä ne liity mihinkään laillisiin yrityksiin, toimituspalveluntarjoajiin, jälleenmyyjiin tai organisaatioihin.

Kiireellisyyden luomiseksi suunniteltuja väärennettyjä toimitusilmoituksia

"Tilauksesi on matkalla" -sähköpostit on muotoiltu muistuttamaan aitoja lähetysilmoituksia. Ne saapuvat tyypillisesti otsikkorivillä, joka sisältää tilausnumeron ja viitenumeron, jotta viestit vaikuttaisivat uskottavilta ja ammattimaisilta.

Vastaanottajille ilmoitetaan, että heidän pakettinsa on väitetysti lähetetty, ja heitä kannustetaan napsauttamaan "Näytä toimitustiedot" -painiketta nähdäkseen seurantatiedot ja toimituspäivitykset. Sanamuoto on tarkoituksella suunniteltu herättämään uteliaisuutta ja kiireellisyyttä, mikä lisää todennäköisyyttä, että vastaanottajat käyttävät annettua linkkiä tutkimatta viestiä huolellisesti.

Todellisuudessa sähköpostit eivät liity mihinkään aitoon ostokseen tai toimitukseen. Niiden ainoa tarkoitus on ohjata vastaanottajat haitalliselle verkkosivustolle, joka on suunniteltu tartuttamaan järjestelmiä haittaohjelmilla.

Huijauksen takana oleva haitallinen verkkosivusto

Upotetun linkin napsauttaminen ohjaa käyttäjät huijaussivustolle, joka sijaitsee increminder.com-sivustolla. Sivusto on tyyliltään samanlainen kuin tilaustenhallinta- tai toimitusportaali, mikä vahvistaa entisestään sivuston oikeellisuuden illuusiota.

Verkkosivu väittää, että lähetystiedot on käsitelty ja että tilaustiedot ovat ladattavissa. Se varoittaa myös, että ladattua tiedostoa saatetaan tarvita paketin vastaanottamiseksi. Tämä on psykologinen taktiikka, jolla pyritään painostamaan kävijöitä jatkamaan latausta.

Seurantatietojen tai tilausdokumentaation tarjoamisen sijaan sivusto toimittaa haitallisen tiedoston nimeltä 'ScreenConnect.ClientSetup.msi'. Tämä tiedosto esitetään tavallisena Windows-asennusohjelmana, mutta se sisältää todellisuudessa troijalaisen version ScreenConnectista.

Troijalainen etäkäyttöohjelmisto aiheuttaa vakavia riskejä

ScreenConnect itsessään on ConnectWisen kehittämä laillinen etätyöpöytäohjelmisto, jota IT-tuen ammattilaiset käyttävät yleisesti etätukeen ja järjestelmänhallintaan. Kyberrikolliset kuitenkin usein väärinkäyttävät tällaisia työkaluja muokkaamalla niitä ja levittämällä aseistettuja versioita, jotka mahdollistavat luvattoman etäkäytön uhrien laitteisiin.

Kun haitallinen asennusohjelma on suoritettu, etäkäyttötyökalu voi toimia hiljaa taustalla herättämättä huomiota. Hyökkääjät voivat sitten saada laajan hallinnan vaarantuneesta järjestelmästä ja suorittaa monenlaisia haitallisia toimia, mukaan lukien:

• Luottamuksellisten tiedostojen ja tallennettujen tunnistetietojen varastaminen
• Käyttäjien toiminnan seuranta ja arkaluonteisten tietojen kerääminen
• Lisähaittaohjelmien, kuten kiristysohjelmien tai vakoiluohjelmien, asentaminen
• Vilpillisten tapahtumien suorittaminen tai verkkotilien väärinkäyttö

Koska haittaohjelma tarjoaa pysyvän etäkäytön, tartunnan saaneita järjestelmiä tulisi pitää täysin vaarantuneina.

Miten Malspam-kampanjat levittävät haittaohjelmia

Roskapostikampanjat levittävät usein haittaohjelmia joko haitallisten liitteiden tai haitallisille verkkosivustoille johtavien linkkien kautta. Monissa tapauksissa tiedostot on naamioitu laskuiksi, kuiteiksi, lähetysasiakirjoiksi tai tiliotteiksi, jotta vastaanottajat voivat avata ne epäilemättä.

Tässä kampanjassa hyökkääjät käyttävät haitallista linkkiä suoran liitteen sijaan. Linkkiä seuraavat vastaanottajat ohjataan väärennetylle tilausportaalille, jossa heidät manipuloidaan lataamaan tartunnan saanut asennustiedosto. Käynnistyksen jälkeen haittaohjelma muodostaa etäkäyttöominaisuudet pysyen kuitenkin uhrille pitkälti näkymättömänä.

Tämä menetelmä antaa hyökkääjille mahdollisuuden ohittaa joitakin sähköpostin suojaussuodattimia, koska haitallinen hyötykuorma isännöidään ulkoisesti sen sijaan, että se olisi liitetty suoraan sähköpostiin.

Välittömät toimenpiteet käyttäjille, joita asia koskee

Jokaisen, joka latasi tai suoritti 'ScreenConnect.ClientSetup.msi'-asennusohjelman, tulisi olettaa, että järjestelmään on jo mahdollisesti päässyt luvattomasti käsiksi. Välittömät toimet ovat erittäin suositeltavia mahdollisten vahinkojen minimoimiseksi.

Täydellinen virustorjunta- tai haittaohjelmien torjuntatarkistus tulisi suorittaa viipymättä, ja kaikki kyseiseen laitteeseen liittyvät arkaluontoiset salasanat tulisi vaihtaa erillisestä, suojatusta järjestelmästä. Myös tilejä, sähköpostitilejä ja yritystietoja tulisi seurata epäilyttävän toiminnan varalta.

Itse haitallinen sähköpostiviesti tulee poistaa välittömästi, ja vastaanottajien tulee välttää viestiin liittyvien linkkien napsauttamista tai tiedostojen lataamista.

Suojautuminen toimitusaiheisilta huijauksilta

Toimitusaiheiset tietojenkalastelu- ja haittaohjelmakampanjat ovat edelleen erittäin tehokkaita, koska ne hyödyntävät yleisiä verkkokauppatottumuksia ja odotuksia pakettien päivityksistä. Hyökkääjät luottavat vastaanottajien nopeaan reagointiin ennen kuin he arvioivat huolellisesti viestin aitouden.

Käyttäjät voivat vähentää altistumista näille uhille tarkistamalla toimitusilmoitukset suoraan virallisten jälleenmyyjien tai kuriirien verkkosivustojen kautta, välttämällä latauksia ei-toivotuista sähköposteista ja suhtautumalla odottamattomiin toimitusilmoituksiin skeptisesti. Jopa tyylikkäältä ja ammattimaiselta vaikuttavat sähköpostit voivat kätkeä vakavia tietoturvauhkia vakuuttavan brändäyksen ja kiireellisen kielen taakse.