ההזמנה שלך בדרך - הונאת דוא"ל
יש תמיד להתייחס בזהירות לאימיילים בלתי צפויים הכוללים רכישות, משלוחים או פעילות בחשבון. פושעי סייבר מסווים לעתים קרובות הודעות זדוניות כתקשורת עסקית לגיטימית בניסיון ללחוץ על הנמענים לפעול ללא אימות. קמפיין האימייל 'ההזמנה שלך בדרך' הוא דוגמה לכך. ניתוח מפורט אישר כי אימיילים אלה הם הודעות ספאם זדוניות ואינם קשורים לחברות, ספקי משלוחים, קמעונאים או ארגונים לגיטימיים.
תוכן העניינים
התראות משלוח מזויפות שנועדו ליצור דחיפות
הודעות הדוא"ל "ההזמנה שלך בדרך" מעוצבות כך שייראו כמו הודעות משלוח אותנטיות. הן מגיעות בדרך כלל עם נושא המכיל מספרי הזמנה וקודי ייחוס כדי שההודעות ייראו אמינות ומקצועיות.
הנמענים מקבלים הודעה כי החבילה שלהם נשלחה לכאורה ומתבקשים ללחוץ על כפתור 'הצג פרטי משלוח' כדי לגשת למידע מעקב ועדכוני משלוח. הניסוח נועד במכוון לעורר סקרנות ודחיפות, מה שמגדיל את הסבירות שהנמענים יתקשרו עם הקישור שסופק מבלי לבדוק בקפידה את ההודעה.
במציאות, האימיילים אינם קשורים לרכישה או משלוח אמיתיים. מטרתם היחידה היא להפנות את הנמענים לאתר זדוני שנועד להדביק מערכות בתוכנה זדונית.
האתר הזדוני שמאחורי ההונאה
לחיצה על הקישור המוטמע מפנה משתמשים לדף הונאה המאוחסן באתר increminder.com. האתר מעוצב כך שידמה לפורטל ניהול הזמנות או משלוחים, מה שמחזק עוד יותר את אשליית הלגיטימיות.
דף האינטרנט טוען כי פרטי המשלוח עובדו וקובע כי פרטי ההזמנה זמינים להורדה. כמו כן, הוא מזהיר כי ייתכן שיידרש הקובץ שהורד כדי לקבל את החבילה, טקטיקה פסיכולוגית שנועדה ללחוץ על המבקרים להמשיך בהורדה.
במקום לספק מידע מעקב או תיעוד הזמנה, האתר מספק קובץ זדוני בשם 'ScreenConnect.ClientSetup.msi'. קובץ זה מוצג כקובץ מתקין רגיל של Windows אך למעשה מכיל גרסה טרויאנית של ScreenConnect.
תוכנת גישה מרחוק שהותקפה על ידי טרויאנים מהווה סיכונים חמורים
ScreenConnect עצמה היא תוכנת שולחן עבודה מרוחק לגיטימית שפותחה על ידי ConnectWise ונמצאת בשימוש נפוץ על ידי אנשי תמיכה בתחום ה-IT לסיוע מרחוק וניהול מערכות. עם זאת, פושעי סייבר נוהגים לנצל לרעה כלים כאלה על ידי שינוים והפצת גרסאות חמושות המסוגלות להעניק גישה מרחוק בלתי מורשית למכשירי הקורבנות.
לאחר הפעלת מתקין הזדוני, כלי הגישה מרחוק יכול לפעול בשקט ברקע מבלי למשוך תשומת לב. תוקפים עלולים לאחר מכן להשיג שליטה נרחבת על המערכת הפגועה ולבצע מגוון רחב של פעילויות זדוניות, כולל:
- גניבת קבצים סודיים ופרטי גישה מאוחסנים
- ניטור פעילות משתמשים ואיסוף מידע רגיש
- התקנת תוכנות זדוניות נוספות כגון תוכנות כופר או תוכנות ריגול
- ביצוע עסקאות הונאה או ניצול לרעה של חשבונות מקוונים
מכיוון שהתוכנה הזדונית מספקת גישה מרחוק מתמשכת, יש להתייחס למערכות שנפגעו כפגועות לחלוטין.
כיצד קמפיינים של Malspam מעבירים תוכנות זדוניות
קמפיינים של ספאם מפיצים לעתים קרובות תוכנות זדוניות באמצעות קבצים מצורפים זדוניים או באמצעות קישורים המובילים לאתרים מזיקים. במקרים רבים, הקבצים מוסווים כחשבוניות, קבלות, מסמכי משלוח או דפי חשבון כדי לעודד את הנמענים לפתוח אותם ללא חשד.
בקמפיין זה, התוקפים מסתמכים על קישור זדוני ולא על קובץ מצורף ישיר. נמענים שעוקבים אחר הקישור מובלים לפורטל הזמנות מזויף, שם הם מתמרנים להוריד את קובץ ההתקנה הנגוע. לאחר ההשקה, התוכנה הזדונית יוצרת יכולות גישה מרחוק תוך שהיא נותרת ברובה בלתי נראית לקורבן.
שיטה זו מאפשרת לתוקפים לעקוף חלק ממסנני אבטחת הדוא"ל, מכיוון שהמטען המזיק מתארח חיצונית ולא מצורף ישירות לדוא"ל.
צעדים מיידיים עבור משתמשים שנפגעו
כל מי שהוריד או הפעיל את מתקין 'ScreenConnect.ClientSetup.msi' צריך להניח שייתכן שכבר התרחשה גישה בלתי מורשית למערכת. מומלץ מאוד לפעול באופן מיידי כדי למזער נזק פוטנציאלי.
יש לבצע סריקת אנטי-וירוס או סריקת תוכנות זדוניות מלאה ללא דיחוי, ולשנות את כל הסיסמאות הרגישות המשויכות למכשיר הפגוע ממערכת נפרדת ומאובטחת. יש גם לנטר חשבונות פיננסיים, חשבונות דוא"ל וכניסות עסקיות לאיתור פעילות חשודה.
יש למחוק את האימייל הזדוני עצמו באופן מיידי, ועל הנמענים להימנע מלחיצה על קישורים או הורדת קבצים הקשורים להודעה.
שמירה על הגנה מפני הונאות הקשורות למשלוחים
קמפיינים של פישינג ותוכנות זדוניות בנושא משלוחים נותרים יעילים ביותר משום שהם מנצלים הרגלי קנייה מקוונים נפוצים ואת הציפייה לעדכוני חבילות. תוקפים מסתמכים על כך שמקבלים יגיבו במהירות לפני שיעריכו בקפידה את הלגיטימיות של ההודעה.
משתמשים יכולים להפחית את החשיפה לאיומים אלה על ידי אימות הודעות משלוח ישירות דרך אתרי אינטרנט רשמיים של קמעונאים או שליחים, הימנעות מהורדות מהודעות דוא"ל לא רצויות והתייחסות ספקנית להתראות משלוח בלתי צפויות. אפילו הודעות דוא"ל שנראות מלוטשות ומקצועיות עלולות להסתיר איומי אבטחה חמורים מתחת למיתוג משכנע ושפה דחופה.
System Messages
The following system messages may be associated with ההזמנה שלך בדרך - הונאת דוא"ל:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
