E-postsvindel med statusoppdatering fra DHL Express Commerce

Forskere innen nettsikkerhet har analysert e-postene med statusoppdateringer fra DHL Express Commerce og fastslått at de er phishing-meldinger som er utformet for å stjele brukernes påloggingsinformasjon. E-postene utgir seg for å være legitime varsler fra DHL Express Commerce og informerer feilaktig mottakerne om at tre dokumenter har blitt delt med dem.

Meldingene kommer vanligvis med emnelinjen «DHL Express Commerce» og er nøye utformet for å ligne varsler fra en dokumentdelingsplattform. For å øke troverdigheten viser e-postene en linje som ser ut til å være et vedlegg med navnet «DHL Express Invoice Payment.docx». Dette er imidlertid ikke et faktisk filvedlegg. I stedet er det et klikkbart element som er laget for å lure mottakerne til å samhandle med e-posten.

I følge meldingsinnholdet har systemet oppdaget tre dokumenter som har blitt delt med mottakeren og angivelig kan nås umiddelbart.

Fellen for portalen for falske dokumenter

Svindelforsøket er avhengig av å overbevise mottakerne om å klikke enten på det forfalskede vedlegget eller på knappen «Vis dokumenter». Uansett hvilket alternativ som velges, leder begge brukerne til samme falske destinasjon.

Den lenkede siden ligger på Googles Firebase Storage-plattform. Selv om Firebase er en legitim skytjeneste, misbruker nettkriminelle ofte anerkjente plattformer til å være vert for skadelig innhold fordi slike domener ofte virker troverdige og kan omgå grunnleggende sikkerhetsfiltre.

Når besøkende kommer til siden, blir de presentert for et falskt DHL Express-innloggingsskjema som ber om en e-postadresse og passord. Til tross for hvordan siden ser ut, har den ingen forbindelse til DHL. All påloggingsinformasjon som legges inn i skjemaet sendes direkte til svindlerne som driver kampanjen.

Hvorfor stjålne legitimasjonsbevis er så verdifulle

Påloggingsinformasjon er blant de mest ettertraktede ressursene for nettkriminelle. Mange bruker det samme passordet på tvers av flere nettkontoer, noe som gjør et enkelt kompromittert sett med påloggingsinformasjon svært verdifullt.

Når angripere får tak i innloggingsinformasjon gjennom phishing-kampanjer, tester de ofte denne legitimasjonen på ulike tjenester, inkludert e-postplattformer, shoppingnettsteder, skylagringskontoer og sosiale medier. Vellykkede kontokompromitteringer kan føre til uautoriserte kjøp, identitetstyveri, kontoovertakelse, økonomiske tap og tap av tilgang til viktige nettjenester.

Av denne grunn bør mottakere aldri oppgi påloggingsinformasjon på nettsteder som nås via uønskede e-poster uten først å bekrefte meldingens og destinasjonens legitimitet.

Varseltegn som avslører svindelen

Flere indikatorer avslører den falske naturen til disse e-postene:

• Meldingen hevder at dokumenter har blitt delt uventet og oppfordrer til umiddelbar interaksjon.
• Den viste filen «DHL Express Invoice Payment.docx» er bare et klikkbart lokkemiddel snarere enn et ekte vedlegg.
• Begge klikkbare elementene fører til samme innloggingsside i stedet for en legitim dokumentdelingstjeneste.
• Nettstedet ber om e-postinformasjon til tross for at det ikke har noen legitim forbindelse til DHL.
• Kommunikasjonen forsøker å utnytte omdømmet til et pålitelig merke for å vinne mottakerens tillit.

Den potensielle forbindelsen til skadelig programvare

Phishing-kampanjer er ikke alltid begrenset til tyveri av legitimasjon. I noen tilfeller brukes lignende spam-e-poster også til å distribuere skadelig programvare.

Nettkriminelle kamuflerer ofte skadelige filer som fakturaer, leveringsvarsler, betalingsbekreftelser, kontrakter eller andre rutinemessige forretningsdokumenter. Disse skadelige filene kan leveres som kjørbare programmer, komprimerte arkiver, PDF-dokumenter, skript eller Microsoft Office-filer som inneholder innebygd skadelig kode.

Infeksjoner krever ofte en eller annen form for brukermedvirkning før skadelig programvare aktiveres. Å åpne et skadelig vedlegg, aktivere makroer, kjøre en nedlastet fil eller klikke på en villedende lenke kan utløse kompromitteringsprosessen. Å utvise forsiktighet når du håndterer uønskede e-poster reduserer sannsynligheten for infeksjon betydelig.

Slik svarer du hvis du mottar e-posten

Hvis denne e-posten dukker opp i en innboks, er den sikreste fremgangsmåten å unngå å bruke lenker, knapper eller vedlegg i den. Meldingen bør slettes umiddelbart. Personer som allerede har sendt inn påloggingsinformasjonen sin via den falske påloggingssiden, bør endre de berørte passordene uten forsinkelse og oppdatere eventuelle andre kontoer som bruker samme påloggingsinformasjon. Å aktivere flerfaktorautentisering der det er mulig, kan gi et ekstra lag med beskyttelse mot uautorisert tilgang.

Sluttvurdering

E-posten med statusoppdateringen for DHL Express Commerce er et phishing-svindelnummer som er utformet for å stjele påloggingsinformasjon ved å utgi seg for å være DHL Express Commerce. Både det falske vedlegget og knappen «Vis dokumenter» omdirigerer brukere til den samme falske påloggingssiden som drives av en misbrukt skytjeneste. Siden kampanjen ikke har noen tilknytning til DHL eller noen legitim organisasjon, bør mottakerne behandle disse meldingene som ondsinnede, unngå all interaksjon med innholdet og fjerne dem fra innboksen sin umiddelbart.