„DocuSign“ – Teisės skyriaus dokumentų el. pašto sukčiavimas

Netikėti el. laiškai gali kelti didelę kibernetinio saugumo riziką, ypač kai jie sukuria skubos įspūdį ir atrodo, kad siunčiami iš patikimų prekių ženklų. Kibernetiniai nusikaltėliai dažnai išnaudoja gerai žinomas įmones, kad apgaulingi laiškai atrodytų įtikinami ir padidintų tikimybę, kad gavėjai su jais bendraus. Vienas iš tokių pavyzdžių yra el. pašto sukčiavimas „DocuSign – Teisės departamento dokumentas“. Šie el. laiškai nėra susiję su „DocuSign“ ar jokia kita teisėta įmone, organizacija ar subjektu. Jie yra kenkėjiškos šlamšto kampanijos, skirtos platinti kenkėjiškas programas, dalis.

Suklastoto teisinio dokumento užklausa

Kibernetinio saugumo tyrėjai išanalizavo šiuos el. laiškus ir nustatė, kad tai kenkėjiškos reklamos (angl. brukalo) žinutės, skirtos apgauti gavėjus ir priversti juos atsisiųsti kenkėjišką programinę įrangą. Paprastai el. laiškai siunčiami su temos eilute „Tiekimo grandinės reguliavimo registracijos ID#SCR-392847“ ir teigiama, kad juos atsiuntė „DocuSign“ teisinis skyrius.

Pranešime teigiama, kad dokumentas buvo išsiųstas elektroniniam parašui ir turi būti peržiūrėtas per tris dienas. Siekiant sustiprinti teisėtumo iliuziją, el. laiške yra aiškiai matomas mygtukas „Peržiūrėti dokumentą“ ir pateikiamas „Alternatyvus pasirašymo būdas“ kartu su saugos kodu. Šie elementai yra kruopščiai sukurti, kad užklausa atrodytų autentiška ir patikima.

Nors „DocuSign“ yra teisėta elektroninio parašo platforma, ji neturi jokio ryšio su šia kampanija. Be to, siuntėjo el. pašto adresas yra iš nesusijusio trečiosios šalies domeno, o ne iš pačios „DocuSign“.

Tikrasis el. laiško tikslas

Galutinis sukčiavimo tikslas – įtikinti gavėjus atsisiųsti kenkėjišką ISO disko atvaizdo failą. Nesvarbu, ar aukos spusteli pateiktą mygtuką, ar vadovaujasi alternatyviomis instrukcijomis, jos nukreipiamos gauti kenkėjišką failą.

„Windows“ gali tiesiogiai prijungti ISO failus kaip virtualius diskus, todėl jie yra patrauklūs įrankiai kibernetiniams nusikaltėliams. Užpuolikai dažnai naudoja šį formatą, nes kartais jis gali apeiti saugos filtrus, kurie kitaip blokuotų akivaizdesnius kenkėjiškus priedus.

Prijungus ISO failą, atidaromas vienas vykdomasis failas pavadinimu:

„NDA_sutartis_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe“

Failo pavadinimas yra tyčia klaidinantis. „.DOC“ plėtinys sukurtas taip, kad failas atrodytų kaip nekenksmingas „Microsoft Word“ dokumentas. Iš tikrųjų galutinis plėtinys „.exe“ identifikuoja jį kaip vykdomąją programą, galinčią vykdyti kodą aukos kompiuteryje.

Kas nutinka atidarius failą?

Tiksli kenkėjiška programa, platinama per šią kampaniją, nebuvo galutinai nustatyta. Tačiau failas gali įdiegti įvairių pavojingų grėsmių, įskaitant išpirkos reikalaujančias programas, bankininkystės Trojos arklius, kredencialų vagystes, klavišų seklius, nuotolinės prieigos Trojos arklius (RAT) ar kitas kenkėjiškos programinės įrangos formas.

Galimos pasekmės:

• Vartotojų vardų, slaptažodžių ir finansinės informacijos vagystė
• Tapatybės vagystė, finansiniai nuostoliai, neteisėta prieiga prie sistemos ir duomenų šifravimas

Kadangi kenkėjiškos programos galimybės lieka nežinomos, bet kokia sąveika su vykdomuoju failu turėtų būti laikoma rimtu saugumo incidentu.

Įspėjamieji ženklai, atskleidžiantys sukčiavimą

Nepaisant įtikinamos žinutės išvaizdos, keli požymiai rodo nesąžiningą veiklą. El. laiške daugiausia dėmesio skiriama skubumui, nustatant trijų dienų dokumentų peržiūros terminą. Jame taip pat nurodomas teisinis pateikimo identifikatorius, siekiant sukurti svarbos įspūdį ir priversti gavėjus veikti greitai, nepatikrinus prašymo.

Patikimo prekės ženklo, pvz., „DocuSign“, naudojimas yra dar viena įprasta socialinės inžinerijos taktika. Kibernetiniai nusikaltėliai supranta, kad vartotojai labiau linkę pasitikėti pažįstamomis paslaugomis, ypač kai pranešimas atrodo profesionalus ir jame yra tokios informacijos kaip patvirtinimo kodai ar pasirašymo instrukcijos.

Ką daryti, jei gavote šį el. laišką

Gavėjai turėtų vengti bet kokio sąveikos su pranešimu. Saugiausias būdas – nedelsiant ištrinti el. laišką ir neatidaryti priedų, nespustelėti nuorodų, neatsisiųsti failų ir nevykdyti jokių pranešime pateiktų nurodymų.

Asmenys, kurie jau atsisiuntė arba vykdė failą, turėtų, kai įmanoma, atjungti paveiktą įrenginį nuo tinklų ir atlikti išsamų nuskaitymą naudodami patikimą antivirusinę arba galinių įrenginių apsaugos programinę įrangą. Taip pat reikėtų pakeisti visus potencialiai pažeistus slaptažodžius iš švaraus įrenginio, ypač jei galėjo būti paviešintos slaptos paskyros.

Kaip šlamšto kampanijos platina kenkėjiškas programas

„DocuSign“ tematikos kampanija yra tik vienas platesnės kibernetinių nusikaltimų tendencijos pavyzdys. Kenkėjiški šlamšto el. laiškai išlieka vienu iš labiausiai paplitusių kenkėjiškų programų platinimo būdų. Užpuolikai įprastai užmaskuoja žalingą turinį kaip sąskaitas faktūras, teisinius pranešimus, pristatymo atnaujinimus, paskyros įspėjimus ar verslo dokumentus.

Įprasti kenkėjiškų programų pateikimo formatai yra ZIP ir RAR archyvai, vykdomieji failai, PDF dokumentai, „Microsoft Office“ failai, scenarijai ir disko atvaizdų formatai, pvz., ISO ir IMG failai. Kai kurie kenkėjiški failai pradeda užkrėtimo procesą vos juos atidarius, o kitiems reikia papildomų vartotojo veiksmų, pvz., įgalinti makrokomandas, išskleisti archyvuotą turinį arba paleisti įterptuosius vykdomuosius failus.

Baigiamosios mintys

El. pašto sukčiavimo schema „DocuSign – Teisės departamento dokumentas“ rodo, kaip kibernetiniai nusikaltėliai derina patikimo prekės ženklo imitavimą, teisinės tematikos pranešimus ir dirbtinį skubinimą, kad priviliotų aukas vykdyti kenkėjiškas programas. Nors iš pirmo žvilgsnio pranešimas gali atrodyti autentiškas, jo tikrasis tikslas yra užkrėsti sistemas ir potencialiai pažeisti slaptą informaciją. Atsargumo priemonės nepageidaujamiems el. laiškams, ypač tiems, kuriuose prašoma nedelsiant imtis veiksmų arba atsisiųsti failus, išlieka viena veiksmingiausių apsaugos nuo tokių grėsmių priemonių.