Truffa via email sull'aggiornamento dello stato di DHL Express Commerce

Alcuni ricercatori di sicurezza informatica hanno analizzato le email di aggiornamento dello stato di DHL Express Commerce e hanno stabilito che si tratta di messaggi di phishing progettati per rubare le credenziali di accesso degli utenti. Le email si spacciano per notifiche legittime di DHL Express Commerce e informano falsamente i destinatari che tre documenti sono stati condivisi con loro.

I messaggi in genere arrivano con l'oggetto "DHL Express Commerce" e sono accuratamente studiati per assomigliare alle notifiche di una piattaforma di condivisione documenti. Per aumentarne la credibilità, le email mostrano una riga che sembra essere un allegato denominato "DHL Express Invoice Payment.docx". Tuttavia, non si tratta di un vero e proprio allegato. È invece un elemento cliccabile creato per indurre i destinatari a interagire con l'email.

Secondo il contenuto del messaggio, il sistema ha rilevato tre documenti che sono stati condivisi con il destinatario e a cui, presumibilmente, è possibile accedere immediatamente.

La trappola del portale dei documenti falsi

La truffa si basa sul convincere i destinatari a cliccare sull'allegato contraffatto o sul pulsante "Visualizza documenti". Indipendentemente dall'opzione selezionata, entrambe indirizzano gli utenti alla stessa destinazione fraudolenta.

La pagina a cui si fa riferimento è ospitata sulla piattaforma Firebase Storage di Google. Sebbene Firebase sia un servizio di cloud hosting legittimo, i criminali informatici spesso abusano di piattaforme affidabili per ospitare contenuti dannosi, poiché tali domini appaiono spesso credibili e possono eludere i filtri di sicurezza di base.

Una volta giunti sulla pagina, i visitatori si trovano di fronte a un modulo di accesso fasullo di DHL Express che richiede un indirizzo email e una password. Nonostante l'apparenza, la pagina non ha alcun collegamento con DHL. Qualsiasi credenziale inserita nel modulo viene trasmessa direttamente ai truffatori che gestiscono la campagna.

Perché le credenziali rubate sono così preziose

Le credenziali di accesso sono tra le risorse più ambite dai criminali informatici. Molte persone riutilizzano la stessa password per diversi account online, rendendo un singolo set di credenziali compromesso estremamente prezioso.

Quando i malintenzionati ottengono le credenziali di accesso tramite campagne di phishing, spesso le testano su vari servizi, tra cui piattaforme di posta elettronica, siti di shopping, account di archiviazione cloud e social network. Una violazione dell'account andata a buon fine può comportare acquisti non autorizzati, furto di identità, acquisizione dell'account, perdite finanziarie e perdita di accesso a importanti servizi online.

Per questo motivo, i destinatari non dovrebbero mai inserire le proprie credenziali su siti web raggiunti tramite email non richieste senza prima aver verificato la legittimità del messaggio e del destinatario.

Segnali d’allarme che rivelano la truffa

Diversi indicatori rivelano la natura fraudolenta di queste e-mail:

• Il messaggio afferma che alcuni documenti sono stati condivisi inaspettatamente e incoraggia un'interazione immediata.
• Il file "DHL Express Invoice Payment.docx" visualizzato è solo un'esca cliccabile, non un allegato autentico.
• Entrambi gli elementi cliccabili conducono alla stessa pagina di accesso anziché a un servizio legittimo di condivisione documenti.
• Il sito web richiede le credenziali di posta elettronica pur non avendo alcun collegamento legittimo con DHL.
• La comunicazione cerca di sfruttare la reputazione di un marchio affidabile per conquistare la fiducia del destinatario.

La potenziale connessione con malware

Le campagne di phishing non si limitano sempre al furto di credenziali. In alcuni casi, email di spam simili vengono utilizzate anche per distribuire malware.

I criminali informatici spesso camuffano i file dannosi da fatture, avvisi di spedizione, conferme di pagamento, contratti o altri documenti aziendali di routine. Questi file dannosi possono essere distribuiti come programmi eseguibili, archivi compressi, documenti PDF, script o file di Microsoft Office contenenti codice dannoso incorporato.

Spesso, prima dell'attivazione del malware, le infezioni richiedono una qualche forma di interazione da parte dell'utente. L'apertura di un allegato dannoso, l'attivazione di macro, l'esecuzione di un file scaricato o il clic su un link ingannevole possono innescare il processo di compromissione. Prestare attenzione quando si gestiscono email non richieste riduce significativamente la probabilità di infezione.

Come rispondere se ricevi l’e-mail

Se questa email compare nella tua casella di posta, la strategia più sicura è evitare di interagire con link, pulsanti o allegati in essa contenuti. Il messaggio deve essere eliminato immediatamente. Chi ha già inserito le proprie credenziali tramite la falsa pagina di accesso dovrebbe cambiare immediatamente le password interessate e aggiornare tutti gli altri account che utilizzano le stesse credenziali. L'attivazione dell'autenticazione a più fattori, ove possibile, può fornire un ulteriore livello di protezione contro gli accessi non autorizzati.

Valutazione finale

L'e-mail di aggiornamento sullo stato della spedizione di DHL Express Commerce è una truffa di phishing progettata per rubare le credenziali di accesso impersonando DHL Express Commerce. La falsa riga dell'allegato e il pulsante "Visualizza documenti" reindirizzano entrambi gli utenti alla stessa pagina di accesso fraudolenta ospitata su un servizio cloud compromesso. Poiché questa campagna non ha alcuna affiliazione con DHL o con qualsiasi altra organizzazione legittima, i destinatari dovrebbero considerare questi messaggi come dannosi, evitare qualsiasi interazione con il loro contenuto e rimuoverli immediatamente dalla propria casella di posta.