Vaša narudžba je na putu putem e-mail prijevare
Neočekivane e-poruke koje uključuju kupnju, dostavu ili aktivnost računa uvijek treba tretirati s oprezom. Kibernetički kriminalci često prikrivaju zlonamjerne poruke kao legitimnu poslovnu komunikaciju u pokušaju da izvrše pritisak na primatelje da djeluju bez provjere. Kampanja e-pošte 'Vaša narudžba je na putu' jedan je od takvih primjera. Detaljna analiza potvrdila je da su te e-poruke zlonamjerne neželjene poruke i nisu povezane s legitimnim tvrtkama, dostavljačima, trgovcima ili organizacijama.
Sadržaj
Lažne obavijesti o dostavi osmišljene za stvaranje hitnosti
E-poruke s tekstom „Vaša narudžba je na putu“ izrađene su tako da nalikuju autentičnim obavijestima o otpremi. Obično stižu s naslovima koji sadrže brojeve narudžbi i referentne kodove kako bi poruke izgledale vjerodostojno i profesionalno.
Primatelji se obavještavaju da je njihov paket navodno poslan i potiču se da kliknu gumb 'Prikaži detalje dostave' kako bi pristupili informacijama o praćenju i ažuriranjima dostave. Formulacija je namjerno osmišljena kako bi potaknula znatiželju i hitnost, povećavajući vjerojatnost da će primatelji koristiti pruženu poveznicu bez pažljivog pregleda poruke.
U stvarnosti, e-poruke se ne odnose ni na kakvu stvarnu kupnju ili pošiljku. Njihova jedina svrha je preusmjeriti primatelje na zlonamjernu web stranicu osmišljenu za zarazu sustava zlonamjernim softverom.
Zlonamjerna web stranica koja stoji iza prijevare
Klikom na ugrađenu poveznicu korisnici se preusmjeravaju na lažnu stranicu hostiranu na increminder.com. Stranica je stilizirana tako da nalikuje portalu za upravljanje narudžbama ili dostavu, što dodatno pojačava iluziju legitimnosti.
Na web stranici se tvrdi da su podaci o pošiljci obrađeni i navodi se da su detalji narudžbe dostupni za preuzimanje. Također se upozorava da bi preuzeta datoteka mogla biti potrebna za primanje paketa, što je psihološka taktika namijenjena prisiljavanju posjetitelja da nastave s preuzimanjem.
Umjesto pružanja informacija o praćenju ili dokumentacije o narudžbi, stranica isporučuje zlonamjernu datoteku pod nazivom 'ScreenConnect.ClientSetup.msi'. Ova se datoteka predstavlja kao uobičajeni instalacijski program za Windows, ali zapravo sadrži trojansku verziju ScreenConnecta.
Trojanizirani softver za udaljeni pristup predstavlja ozbiljan rizik
Sam ScreenConnect je legitimni softver za udaljenu radnu površinu koji je razvio ConnectWise i koji često koriste IT stručnjaci za podršku za udaljenu pomoć i upravljanje sustavom. Međutim, kibernetički kriminalci često zloupotrebljavaju takve alate modificirajući ih i distribuirajući naoružane verzije sposobne za neovlašteni udaljeni pristup uređajima žrtava.
Nakon što se zlonamjerni instalacijski program pokrene, alat za udaljeni pristup može tiho raditi u pozadini bez privlačenja pažnje. Napadači tada mogu dobiti opsežnu kontrolu nad kompromitovanim sustavom i izvršiti širok raspon zlonamjernih aktivnosti, uključujući:
- Krađa povjerljivih datoteka i pohranjenih vjerodajnica
- Praćenje aktivnosti korisnika i prikupljanje osjetljivih informacija
- Instaliranje dodatnog zlonamjernog softvera poput ransomwarea ili špijunskog softvera
- Provođenje lažnih transakcija ili zlouporaba online računa
Budući da zlonamjerni softver omogućuje trajan udaljeni pristup, pogođene sustave treba smatrati potpuno kompromitiranima.
Kako kampanje neželjene pošte (Malspam) šire zlonamjerni softver
Kampanje neželjene pošte često distribuiraju zlonamjerni softver putem zlonamjernih privitaka ili putem poveznica koje vode do štetnih web stranica. U mnogim slučajevima datoteke su prikrivene kao računi, potvrde, otpremnice ili izvodi računa kako bi se potaknulo primatelje da ih otvore bez sumnje.
U ovoj kampanji napadači se oslanjaju na zlonamjernu poveznicu, a ne na izravni privitak. Primatelji koji slijede poveznicu vode se na lažni portal za narudžbe, gdje se manipulira da preuzmu zaraženu instalacijsku datoteku. Nakon pokretanja, zlonamjerni softver uspostavlja mogućnosti udaljenog pristupa, a pritom ostaje uglavnom nevidljiv žrtvi.
Ova metoda omogućuje napadačima da zaobiđu neke sigurnosne filtere e-pošte, budući da se štetni sadržaj nalazi izvana, a ne izravno u e-poruci.
Neposredni koraci za pogođene korisnike
Svatko tko je preuzeo ili pokrenuo instalacijski program 'ScreenConnect.ClientSetup.msi' trebao bi pretpostaviti da je možda već došlo do neovlaštenog pristupa sustavu. Preporučuje se hitna akcija kako bi se potencijalna šteta svela na minimum.
Bez odgađanja treba provesti potpuno antivirusno ili anti-malware skeniranje, a sve osjetljive lozinke povezane s pogođenim uređajem treba promijeniti s zasebnog, sigurnog sustava. Financijske račune, račune e-pošte i poslovne prijave također treba pratiti zbog sumnjivih aktivnosti.
Zlonamjernu e-poštu treba odmah izbrisati, a primatelji trebaju izbjegavati klikanje na poveznice ili preuzimanje datoteka povezanih s porukom.
Zaštita od prijevara vezanih uz dostavu
Phishing kampanje i kampanje zlonamjernog softvera vezane uz dostavu ostaju vrlo učinkovite jer iskorištavaju uobičajene navike online kupovine i očekivanje ažuriranja paketa. Napadači se oslanjaju na brzu reakciju primatelja prije nego što pažljivo procijene legitimnost poruke.
Korisnici mogu smanjiti izloženost tim prijetnjama izravnom provjerom obavijesti o dostavi putem službenih web stranica trgovaca ili kurirskih službi, izbjegavanjem preuzimanja s neželjenih e-poruka i skeptičnim tretiranjem neočekivanih obavijesti o dostavi. Čak i e-poruke koje izgledaju uglađeno i profesionalno mogu skrivati ozbiljne sigurnosne prijetnje ispod uvjerljivog brendiranja i hitnog jezika.
System Messages
The following system messages may be associated with Vaša narudžba je na putu putem e-mail prijevare:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
