Úton van a rendelésed! E-mailes átverés

A vásárlásokkal, szállításokkal vagy fióktevékenységekkel kapcsolatos váratlan e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket legitim üzleti kommunikációként, hogy nyomást gyakoroljanak a címzettekre, és ellenőrzés nélkül cselekedjenek. Az „Úton van a rendelésed” e-mail kampány egy ilyen példa. A részletes elemzés megerősítette, hogy ezek az e-mailek rosszindulatú spamüzenetek, és nem kapcsolódnak semmilyen legitim vállalathoz, szállítmányozóhoz, kiskereskedőhöz vagy szervezethez.

Hamis szállítási értesítések, amelyek sürgősséget kívánnak kelteni

Az „Úton van a rendelésed” e-mailek úgy vannak megírva, hogy eredeti szállítási értesítésekre hasonlítsanak. Általában olyan tárgymezővel érkeznek, amely tartalmazza a rendelési számokat és a referenciaszámokat, hogy az üzenetek hitelesnek és professzionálisnak tűnjenek.

A címzetteket tájékoztatják arról, hogy csomagjukat állítólag feladták, és arra ösztönzik őket, hogy kattintsanak a „Szállítási adatok megtekintése” gombra a követési információk és a kézbesítési frissítések eléréséhez. A megfogalmazás szándékosan a kíváncsiság és a sürgősség felkeltésére szolgál, növelve annak valószínűségét, hogy a címzettek a megadott linkre kattintva anélkül lépnek kapcsolatba az üzenettel, hogy alaposan megvizsgálnák azt.

A valóságban az e-mailek nem valódi vásárláshoz vagy szállítmányhoz kapcsolódnak. Egyetlen céljuk, hogy a címzetteket egy rosszindulatú weboldalra irányítsák át, amelynek célja a rendszerek kártevőkkel való megfertőzése.

A csalás mögött álló rosszindulatú weboldal

A beágyazott linkre kattintva a felhasználók egy csalárd oldalra jutnak, amely az increminder.com oldalon található. Az oldal stílusa egy rendeléskezelő vagy szállítási portálra hasonlít, ami tovább erősíti a legitimitás illúzióját.

A weboldal azt állítja, hogy a szállítási információkat feldolgozták, és kijelenti, hogy a rendelési adatok letölthetők. Azt is figyelmezteti, hogy a letöltött fájlra szükség lehet a csomag átvételéhez, ami egy pszichológiai taktika, amelynek célja, hogy nyomást gyakoroljon a látogatókra a letöltés folytatására.

A követési információk vagy a rendelési dokumentáció helyett a webhely egy „ScreenConnect.ClientSetup.msi” nevű rosszindulatú fájlt jelenít meg. Ez a fájl normál Windows telepítőként jelenik meg, de valójában a ScreenConnect trójai verzióját tartalmazza.

Trójai vírussal fertőzött távoli hozzáférést biztosító szoftverek komoly kockázatokat jelentenek

Maga a ScreenConnect egy legitim távoli asztali szoftver, amelyet a ConnectWise fejlesztett ki, és amelyet az IT-támogatási szakemberek gyakran használnak távoli segítségnyújtáshoz és rendszerfelügyelethez. A kiberbűnözők azonban gyakran visszaélnek ezekkel az eszközökkel, módosítják azokat, és fegyveres verziókat terjesztenek, amelyek jogosulatlan távoli hozzáférést biztosítanak az áldozatok eszközeihez.

Miután a rosszindulatú telepítő lefutott, a távoli elérésű eszköz csendben, figyelemfelkeltés nélkül működhet a háttérben. A támadók ezután széles körű irányítást szerezhetnek a feltört rendszer felett, és számos rosszindulatú tevékenységet végezhetnek, beleértve:

• Bizalmas fájlok és tárolt hitelesítő adatok ellopása
• Felhasználói aktivitás figyelése és érzékeny információk gyűjtése
• További rosszindulatú programok, például zsarolóvírusok vagy kémprogramok telepítése
• Csalárd tranzakciók lebonyolítása vagy online fiókok visszaélése

Mivel a kártevő állandó távoli hozzáférést biztosít, az érintett rendszereket teljes mértékben veszélyeztetettnek kell tekinteni.

Hogyan juttatnak el kártevőket a Malspam kampányok

A spamkampányok gyakran terjesztenek rosszindulatú programokat rosszindulatú mellékleteken vagy kártékony webhelyekre mutató linkeken keresztül. Sok esetben a fájlokat számlának, nyugtának, szállítási dokumentumoknak vagy számlakivonatoknak álcázzák, hogy a címzetteket gyanú nélkül nyissák meg azokat.

Ebben a kampányban a támadók egy rosszindulatú linkre támaszkodnak, nem pedig egy közvetlen mellékletre. A linkre kattintó címzetteket egy hamis rendelési portálra vezetik, ahol manipulálják őket a fertőzött telepítőfájl letöltésére. Elindítása után a rosszindulatú program távoli hozzáférési képességeket hoz létre, miközben nagyrészt láthatatlan marad az áldozat számára.

Ez a módszer lehetővé teszi a támadók számára, hogy megkerüljenek bizonyos e-mail biztonsági szűrőket, mivel a káros adatcsomag külsőleg tárolódik, nem pedig közvetlenül az e-mailhez csatolva.

Azonnali lépések az érintett felhasználók számára

Bárki, aki letöltötte vagy futtatta a „ScreenConnect.ClientSetup.msi” telepítőt, feltételezheti, hogy jogosulatlan hozzáférés történt a rendszerhez. A lehetséges károk minimalizálása érdekében határozottan ajánlott azonnali intézkedést tenni.

Késedelem nélkül teljes körű vírus- vagy kártevőirtó vizsgálatot kell végezni, és az érintett eszközhöz tartozó összes érzékeny jelszót egy különálló, biztonságos rendszerből kell megváltoztatni. A pénzügyi számlákat, az e-mail fiókokat és az üzleti bejelentkezéseket is figyelni kell a gyanús tevékenységek szempontjából.

Magát a rosszindulatú e-mailt azonnal törölni kell, és a címzetteknek kerülniük kell az üzenethez kapcsolódó linkekre kattintást vagy fájlok letöltését.

Védelem a kézbesítéssel kapcsolatos csalások ellen

A kézbesítési témájú adathalász és rosszindulatú kampányok továbbra is rendkívül hatékonyak, mivel kihasználják az online vásárlási szokásokat és a csomagfrissítések elvárását. A támadók a címzettek gyors reakcióira támaszkodnak, mielőtt gondosan felmérnék az üzenet hitelességét.

A felhasználók csökkenthetik ezen fenyegetéseknek való kitettségüket, ha közvetlenül a hivatalos kiskereskedői vagy futárszolgálati weboldalakon keresztül ellenőrzik a szállítási értesítéseket, elkerülik a kéretlen e-mailekből származó letöltéseket, és szkeptikusan kezelik a váratlan kézbesítési értesítéseket. Még a kifinomultnak és professzionálisnak tűnő e-mailek is komoly biztonsági fenyegetéseket rejthetnek a meggyőző márkaépítés és a sürgető nyelvezet mögött.