DHL Express Commerce állapotfrissítéssel kapcsolatos e-mailes átverés

Kiberbiztonsági kutatók elemezték a DHL Express Commerce állapotfrissítéseket tartalmazó e-mailjeit, és megállapították, hogy azok adathalász üzenetek, amelyek célja a felhasználók bejelentkezési adatainak ellopása. Az e-mailek a DHL Express Commerce jogos értesítéseinek álcázzák magukat, és hamisan tájékoztatják a címzetteket arról, hogy három dokumentumot osztottak meg velük.

Az üzenetek jellemzően a „DHL Express Commerce” tárgysorral érkeznek, és gondosan úgy vannak megfogalmazva, hogy egy dokumentummegosztó platform értesítéseire hasonlítsanak. A hitelesség növelése érdekében az e-mailekben egy „DHL Express Invoice Payment.docx” nevű mellékletnek tűnő sor látható. Ez azonban nem egy tényleges fájlmelléklet. Ehelyett egy kattintható elem, amelyet azért hoztak létre, hogy megtévesszék a címzetteket, és interakcióba lépjenek az e-maillel.

Az üzenet tartalma szerint a rendszer három olyan dokumentumot észlelt, amelyeket megosztottak a címzettel, és amelyekhez állítólag azonnal hozzá lehet férni.

A hamis dokumentumportál csapdája

A csalás azon alapul, hogy a címzetteket ráveszik a hamisított mellékletre vagy a „Dokumentumok megtekintése” gombra kattintásra. Függetlenül attól, hogy melyik lehetőséget választják, mindkettő ugyanarra a csalárd célhelyre irányítja a felhasználókat.

A hivatkozott oldal a Google Firebase Storage platformján található. Bár a Firebase egy legitim felhőalapú tárhelyszolgáltatás, a kiberbűnözők gyakran használják a jó hírű platformokat rosszindulatú tartalmak tárolására, mivel az ilyen domainek gyakran megbízhatónak tűnnek, és megkerülhetik az alapvető biztonsági szűrőket.

Amikor a látogatók megérkeznek az oldalra, egy hamis DHL Express bejelentkezési űrlapot kapnak, amely e-mail címet és jelszót kér. A látszat ellenére az oldalnak nincs kapcsolata a DHL-lel. Az űrlapon megadott hitelesítő adatok közvetlenül a kampányt működtető csalókhoz kerülnek továbbításra.

Miért olyan értékesek az ellopott hitelesítő adatok?

A bejelentkezési adatok a kiberbűnözők legkeresettebb eszközei közé tartoznak. Sokan ugyanazt a jelszót használják több online fiókban is, így egyetlen feltört hitelesítő adatkészlet rendkívül értékes.

Amikor a támadók adathalász kampányok révén megszerzik a bejelentkezési adatokat, gyakran tesztelik ezeket a hitelesítő adatokat különféle szolgáltatásokon, beleértve az e-mail platformokat, bevásárló oldalakat, felhőalapú tárhelyfiókokat és közösségi média hálózatokat. A sikeres fiókfeltörések jogosulatlan vásárlásokhoz, személyazonosság-lopáshoz, fiókátvételhez, pénzügyi veszteségekhez és a fontos online szolgáltatásokhoz való hozzáférés elvesztéséhez vezethetnek.

Emiatt a címzetteknek soha nem szabad hitelesítő adatokat megadniuk a kéretlen e-maileken keresztül elért webhelyeken anélkül, hogy először ellenőriznék az üzenet és a címzett hitelességét.

Figyelmeztető jelek, amelyek felfedik a csalást

Számos jel utal ezen e-mailek csalárd jellegére:

• Az üzenet azt állítja, hogy a dokumentumokat váratlanul osztották meg, és azonnali interakcióra ösztönöz.
• A megjelenített „DHL Express Invoice Payment.docx” fájl csupán egy kattintható csali, nem pedig valódi melléklet.
• Mindkét kattintható elem ugyanarra a bejelentkezési oldalra vezet, nem pedig egy legitim dokumentummegosztó szolgáltatáshoz.
• A weboldal e-mail hitelesítő adatokat kér, annak ellenére, hogy nincs jogos kapcsolata a DHL-lel.
• A kommunikáció egy megbízható márka hírnevére építve próbálja elnyerni a címzett bizalmát.

A lehetséges kártevőkapcsolat

Az adathalász kampányok nem mindig korlátozódnak a hitelesítő adatok ellopására. Bizonyos esetekben hasonló spam e-maileket is használnak rosszindulatú programok terjesztésére.

A kiberbűnözők gyakran számlákként, szállítási értesítésekként, fizetési visszaigazolásokként, szerződésekként vagy más szokásos üzleti dokumentumokként álcázzák a rosszindulatú fájlokat. Ezek a kártékony fájlok futtatható programokként, tömörített archívumokként, PDF-dokumentumokként, szkriptekként vagy beágyazott rosszindulatú kódot tartalmazó Microsoft Office-fájlokként is eljuthatnak hozzájuk.

A fertőzések gyakran valamilyen felhasználói beavatkozást igényelnek a rosszindulatú program aktiválódása előtt. Egy rosszindulatú melléklet megnyitása, makrók engedélyezése, egy letöltött fájl végrehajtása vagy egy megtévesztő hivatkozásra kattintás elindíthatja a behatolási folyamatot. A kéretlen e-mailek kezelésekor tanúsított óvatosság jelentősen csökkenti a fertőzés valószínűségét.

Hogyan válaszolj, ha megkapod az e-mailt

Ha ez az e-mail megjelenik a beérkezett üzenetek mappájában, a legbiztonságosabb megoldás az, ha nem használja az abban található linkeket, gombokat vagy mellékleteket. Az üzenetet azonnal törölni kell. Azoknak a személyeknek, akik már megadták hitelesítő adataikat a hamis bejelentkezési oldalon keresztül, haladéktalanul meg kell változtatniuk az érintett jelszavakat, és frissíteniük kell az összes többi fiókjukat, amelyek ugyanazokat a hitelesítő adatokat használják. A többtényezős hitelesítés engedélyezése, ahol csak lehetséges, további védelmet nyújthat a jogosulatlan hozzáférés ellen.

Záró értékelés

A DHL Express Commerce állapotfrissítő e-mailje egy adathalász csalás, amelynek célja bejelentkezési adatok megszerzése a DHL Express Commerce személyazonosságának kiadásával. A hamis melléklet és a „Dokumentumok megtekintése” gomb is ugyanarra a csalárd bejelentkezési oldalra irányítja át a felhasználókat, amelyet egy visszaélésszerűen használt felhőszolgáltatás üzemeltet. Mivel a kampánynak nincs kapcsolata a DHL-lel vagy bármely legitim szervezettel, a címzetteknek ezeket az üzeneteket rosszindulatúként kell kezelniük, kerülniük kell a tartalmukkal való minden interakciót, és azonnal el kell távolítaniuk azokat a postaládájukból.