Prijevara putem e-pošte s ažuriranjem statusa DHL Express Commerce

Istraživači kibernetičke sigurnosti analizirali su e-poruke s ažuriranjima statusa DHL Express Commercea i utvrdili da se radi o phishing porukama osmišljenima za krađu korisničkih podataka za prijavu. E-poruke se maskiraju kao legitimne obavijesti od DHL Express Commercea i lažno obavještavaju primatelje da su s njima podijeljena tri dokumenta.

Poruke obično stižu s naslovom 'DHL Express Commerce' i pažljivo su izrađene kako bi nalikovale obavijestima s platforme za dijeljenje dokumenata. Kako bi se povećala njihova vjerodostojnost, e-poruke prikazuju redak koji izgleda kao privitak pod nazivom 'DHL Express Invoice Payment.docx'. Međutim, ovo nije stvarni privitak datoteke. Umjesto toga, to je element na koji se može kliknuti, stvoren kako bi se primatelji prevarili i naveli ih na interakciju s e-porukom.

Prema sadržaju poruke, sustav je otkrio tri dokumenta koja su podijeljena s primateljem i kojima se navodno može odmah pristupiti.

Zamka portala lažnih dokumenata

Prijevara se oslanja na uvjeravanje primatelja da kliknu ili krivotvoreni privitak ili gumb 'Prikaži dokumente'. Bez obzira na to koja je opcija odabrana, obje usmjeravaju korisnike na isto lažno odredište.

Povezana stranica nalazi se na Googleovoj platformi Firebase Storage. Iako je Firebase legitimna usluga hostinga u oblaku, kibernetički kriminalci često zloupotrebljavaju ugledne platforme za hostiranje zlonamjernog sadržaja jer se takve domene često čine pouzdanima i mogu izbjeći osnovne sigurnosne filtere.

Nakon što posjetitelji dođu na stranicu, prikazuje im se lažni obrazac za prijavu na DHL Express u kojem se traži adresa e-pošte i lozinka. Unatoč izgledu, stranica nema veze s DHL-om. Sve vjerodajnice unesene u obrazac prenose se izravno prevarantima koji vode kampanju.

Zašto su ukradene akreditacije toliko vrijedne

Vjerodajnice za prijavu su među najtraženijim resursima za kibernetičke kriminalce. Mnogi pojedinci ponovno koriste istu lozinku na više online računa, što jedan kompromitirani skup vjerodajnica čini vrlo vrijednim.

Kada napadači dobiju podatke za prijavu putem phishing kampanja, često testiraju te vjerodajnice na raznim uslugama, uključujući platforme za e-poštu, web-mjesta za kupovinu, račune za pohranu u oblaku i društvene mreže. Uspješna kompromitacija računa može rezultirati neovlaštenim kupnjama, krađom identiteta, preuzimanjem računa, financijskim gubicima i gubitkom pristupa važnim online uslugama.

Zbog toga primatelji nikada ne bi smjeli unositi vjerodajnice na web-stranicama do kojih se dođe putem neželjene e-pošte bez prethodne provjere legitimnosti poruke i odredišta.

Znakovi upozorenja koji otkrivaju prijevaru

Nekoliko pokazatelja otkriva lažnu prirodu ovih e-poruka:

• U poruci se tvrdi da su dokumenti neočekivano podijeljeni i potiče se na neposrednu interakciju.
• Prikazani 'DHL Express Invoice Payment.docx' je samo mamac na koji se može kliknuti, a ne pravi privitak.
• Oba elementa na koja se može kliknuti vode na istu stranicu za prijavu umjesto na legitimnu uslugu za dijeljenje dokumenata.
• Web stranica traži podatke za prijavu e-pošte iako nema legitimnu vezu s DHL-om.
• Komunikacija pokušava iskoristiti ugled pouzdanog brenda kako bi stekla povjerenje primatelja.

Potencijalna veza sa zlonamjernim softverom

Phishing kampanje nisu uvijek ograničene samo na krađu vjerodajnica. U nekim slučajevima, slične neželjene e-poruke koriste se i za distribuciju zlonamjernog softvera.

Kibernetički kriminalci obično prikrivaju zlonamjerne datoteke kao račune, obavijesti o otpremi, potvrde o plaćanju, ugovore ili druge rutinske poslovne dokumente. Ove štetne datoteke mogu se isporučiti kao izvršni programi, komprimirane arhive, PDF dokumenti, skripte ili datoteke Microsoft Officea koje sadrže ugrađeni zlonamjerni kod.

Infekcije često zahtijevaju neki oblik interakcije korisnika prije nego što se zlonamjerni softver aktivira. Otvaranje zlonamjernog privitka, omogućavanje makronaredbi, izvršavanje preuzete datoteke ili klik na obmanjujuću poveznicu može pokrenuti proces kompromitiranja. Oprez pri rukovanju neželjenim e-porukama značajno smanjuje vjerojatnost zaraze.

Kako odgovoriti ako primite e-poštu

Ako se ova e-pošta pojavi u pristigloj pošti, najsigurniji pristup je izbjegavanje interakcije s bilo kojim poveznicama, gumbima ili privitcima koji se nalaze u njoj. Poruku treba odmah izbrisati. Pojedinci koji su već poslali svoje vjerodajnice putem lažne stranice za prijavu trebali bi bez odgode promijeniti pogođene lozinke i ažurirati sve ostale račune koji koriste iste vjerodajnice. Omogućavanje višefaktorske autentifikacije gdje god je to moguće može pružiti dodatni sloj zaštite od neovlaštenog pristupa.

Završna procjena

E-pošta s ažuriranjem statusa DHL Express Commercea je phishing prijevara osmišljena za prikupljanje podataka za prijavu lažnim predstavljanjem kao DHL Express Commerce. Lažni privitak i gumb 'Prikaži dokumente' preusmjeravaju korisnike na istu lažnu stranicu za prijavu koja se nalazi putem zloupotrijebljene usluge u oblaku. Budući da kampanja nema nikakve veze s DHL-om ili bilo kojom legitimnom organizacijom, primatelji bi trebali tretirati ove poruke kao zlonamjerne, izbjegavati svaku interakciju s njihovim sadržajem i odmah ih ukloniti iz svojih inboxa.