Jūsu pasūtījums ir ceļā. E-pasta krāpniecība.
Negaidīti e-pasti, kas saistīti ar pirkumiem, piegādēm vai konta aktivitātēm, vienmēr jāuztver piesardzīgi. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgu biznesa saziņu, mēģinot piespiest adresātus rīkoties bez verifikācijas. E-pasta kampaņa “Jūsu pasūtījums ir ceļā” ir viens no šādiem piemēriem. Detalizēta analīze ir apstiprinājusi, ka šie e-pasti ir ļaunprātīgi surogātpasta ziņojumi un nav saistīti ar likumīgiem uzņēmumiem, piegādes pakalpojumu sniedzējiem, mazumtirgotājiem vai organizācijām.
Satura rādītājs
Viltus piegādes paziņojumi, kas radīti steidzamības dēļ
E-pasti “Jūsu pasūtījums ir ceļā” ir veidoti tā, lai tie atgādinātu autentiskus sūtījumu paziņojumus. To tēmas rindās parasti ir norādīti pasūtījuma numuri un atsauces kodi, lai ziņojumi izskatītos ticami un profesionāli.
Saņēmēji tiek informēti, ka viņu paka it kā ir nosūtīta, un tiek aicināti noklikšķināt uz pogas “Skatīt piegādes informāciju”, lai piekļūtu izsekošanas informācijai un piegādes atjauninājumiem. Šāds formulējums ir apzināti veidots, lai rosinātu ziņkāri un steidzamību, palielinot iespējamību, ka saņēmēji mijiedarbosies ar sniegto saiti, rūpīgi nepārbaudot ziņojumu.
Patiesībā e-pasti nav saistīti ne ar vienu īstu pirkumu vai sūtījumu. To vienīgais mērķis ir novirzīt adresātus uz ļaunprātīgu vietni, kas izstrādāta, lai inficētu sistēmas ar ļaunprogrammatūru.
Ļaunprātīgā tīmekļa vietne, kas slēpjas aiz krāpniecības
Noklikšķinot uz iegultās saites, lietotāji tiek novirzīti uz krāpniecisku lapu, kas atrodas vietnē increminder.com. Vietne ir veidota tā, lai atgādinātu pasūtījumu pārvaldības vai piegādes portālu, vēl vairāk pastiprinot leģitimitātes ilūziju.
Tīmekļa lapā tiek apgalvots, ka sūtījuma informācija ir apstrādāta, un norādīts, ka pasūtījuma informācija ir pieejama lejupielādei. Tajā arī tiek brīdināts, ka lejupielādētais fails var būt nepieciešams pakas saņemšanai, kas ir psiholoģiska taktika, kuras mērķis ir piespiest apmeklētājus turpināt lejupielādi.
Tā vietā, lai sniegtu izsekošanas informāciju vai pasūtījuma dokumentāciju, vietne piegādā ļaunprātīgu failu ar nosaukumu “ScreenConnect.ClientSetup.msi”. Šis fails tiek parādīts kā parasts Windows instalētājs, bet patiesībā satur ar Trojas zirgu inficētu ScreenConnect versiju.
Trojiešu zirgu inficēta attālās piekļuves programmatūra rada nopietnus riskus
Pati ScreenConnect ir likumīga attālās darbvirsmas programmatūra, ko izstrādājusi ConnectWise un ko IT atbalsta speciālisti parasti izmanto attālinātai palīdzībai un sistēmas pārvaldībai. Tomēr kibernoziedznieki bieži ļaunprātīgi izmanto šādus rīkus, modificējot tos un izplatot ieroču versijas, kas spēj nodrošināt neatļautu attālo piekļuvi upuru ierīcēm.
Kad ļaunprātīgais instalētājs ir palaists, attālās piekļuves rīks var klusi darboties fonā, nepievēršot uzmanību. Uzbrucēji pēc tam var iegūt plašu kontroli pār apdraudēto sistēmu un veikt plašu ļaunprātīgu darbību klāstu, tostarp:
- Konfidenciālu failu un saglabāto akreditācijas datu zādzība
- Lietotāju aktivitāšu uzraudzība un sensitīvas informācijas vākšana
- Papildu ļaunprogrammatūras, piemēram, izspiedējprogrammatūras vai spiegprogrammatūras, instalēšana
- Krāpniecisku darījumu veikšana vai tiešsaistes kontu ļaunprātīga izmantošana
Tā kā ļaunprogrammatūra nodrošina pastāvīgu attālo piekļuvi, skartās sistēmas jāuzskata par pilnībā apdraudētām.
Kā ļaunprogrammatūras kampaņas piegādā ļaunprogrammatūru
Surogātpasta kampaņas bieži izplata ļaunprogrammatūru, izmantojot ļaunprātīgus pielikumus vai saites, kas ved uz kaitīgām tīmekļa vietnēm. Daudzos gadījumos faili ir maskēti kā rēķini, kvītis, piegādes dokumenti vai konta izraksti, lai mudinātu adresātus tos atvērt bez aizdomām.
Šajā kampaņā uzbrucēji paļaujas uz ļaunprātīgu saiti, nevis tiešu pielikumu. Saņēmēji, kas seko saitei, tiek novirzīti uz viltotu pasūtījumu portālu, kur viņi tiek manipulēti lejupielādēt inficēto instalēšanas failu. Pēc palaišanas ļaunprogrammatūra izveido attālās piekļuves iespējas, vienlaikus paliekot upurim lielākoties neredzama.
Šī metode ļauj uzbrucējiem apiet dažus e-pasta drošības filtrus, jo kaitīgā vērtuma informācija tiek mitināta ārēji, nevis tieši pievienota e-pastam.
Neatliekamās darbības skartajiem lietotājiem
Ikvienam, kurš lejupielādēja vai palaidis instalētāju “ScreenConnect.ClientSetup.msi”, jāpieņem, ka sistēmai, iespējams, jau ir notikusi nesankcionēta piekļuve. Lai samazinātu iespējamo kaitējumu, stingri ieteicams nekavējoties rīkoties.
Nekavējoties jāveic pilna pretvīrusu vai ļaunprogrammatūras skenēšana, un visas ar skarto ierīci saistītās sensitīvās paroles jāmaina no atsevišķas, drošas sistēmas. Finanšu konti, e-pasta konti un uzņēmumu pieteikšanās dati arī jāuzrauga, lai konstatētu aizdomīgas darbības.
Pats ļaunprātīgais e-pasts ir nekavējoties jāizdzēš, un adresātiem jāizvairās no noklikšķināšanas uz saitēm vai ar ziņojumu saistīto failu lejupielādes.
Aizsardzība pret piegādes krāpniecību
Piegādes tematikas pikšķerēšanas un ļaunprogrammatūras kampaņas joprojām ir ļoti efektīvas, jo tās izmanto izplatītus tiešsaistes iepirkšanās paradumus un gaidas par sūtījumu atjauninājumiem. Uzbrucēji paļaujas uz to, ka saņēmēji ātri reaģēs, pirms rūpīgi izvērtēs ziņojuma leģitimitāti.
Lietotāji var samazināt šo draudu risku, pārbaudot sūtījumu paziņojumus tieši oficiālajās mazumtirgotāju vai kurjeru vietnēs, izvairoties no lejupielādes no nevēlamiem e-pastiem un skeptiski uztverot negaidītus piegādes brīdinājumus. Pat e-pasti, kas šķiet eleganti un profesionāli, var slēpt nopietnus drošības draudus zem pārliecinoša zīmola tēla un steidzamas valodas.
System Messages
The following system messages may be associated with Jūsu pasūtījums ir ceļā. E-pasta krāpniecība.:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
