Sikkert dokument for gjennomgang via e-postsvindel

Det er viktig å være forsiktig med uventede e-poster i dagens trussellandskap. Nettkriminelle kamuflerer rutinemessig phishing-meldinger som legitim forretningskommunikasjon for å lure mottakere til å avsløre sensitiv informasjon. E-posten «Sikker dokument for gjennomgang» er et slikt eksempel. Til tross for det profesjonelle utseendet er ikke denne kampanjen knyttet til noe legitimt selskap, organisasjon, dokumentdelingsplattform eller e-postleverandør. Dens eneste formål er å stjele e-postkontopåloggingsinformasjon fra intetanende brukere.

Bak bedraget «Sikkert dokument for gjennomgang»

En grundig analyse av e-postene «Sikkert dokument for gjennomgang» har bekreftet at de er phishing-meldinger som er utformet for å samle innloggingsinformasjon. E-postene utgir seg for å være sikre varsler om deling av dokumenter og hevder at en konfidensiell kontraktsfil med tittelen «Contract_Agreement_0035040_ACH_Payment.pdf» er utarbeidet for mottakerens gjennomgang.

For å skape en følelse av at det haster, oppgir meldingen at dokumentlenken utløper innen 72 timer. Nedtellingen presenteres som en sikkerhetsfunksjon, og oppfordrer mottakerne til å handle raskt uten å nøye vurdere e-postens autentisitet.

En annen taktikk som brukes i disse meldingene er å instruere mottakerne om å flytte e-posten til innboksen sin hvis den ble filtrert som spam. Dette forsøket på å virke troverdig er ment å redusere mistanke og øke sannsynligheten for at offeret vil samhandle med innholdet.

Portalen for falske, sikre dokumenter

E-posten inneholder en knapp eller lenke merket «Åpne dokument sikkert». I stedet for å føre til en legitim dokumentdelingstjeneste, leder lenken brukerne til et uredelig nettsted som ligger på esnad-fls(dot)com.

Nettstedet fremstiller seg feilaktig som en sikker e-postautentiseringsportal. I mange tilfeller viser det en falsk påloggingsside som imiterer utseendet til Googles påloggingsgrensesnitt og kan være merket som en «Gmail-sikret portal». Besøkende blir bedt om å oppgi e-postadresse og passord for å få tilgang til det antatte dokumentet.

Forskere har observert at phishing-siden dynamisk kan justere utseendet sitt avhengig av mottakerens e-postleverandør. Gmail-brukere kan se en Google-inspirert innloggingsside, mens brukere av andre e-posttjenester kan bli presentert for grensesnitt som er utformet for å ligne sine respektive leverandører. Denne tilpasningen bidrar til å gjøre svindelen mer overbevisende.

Hva skjer etter at legitimasjon er lagt inn?

All informasjon som sendes inn via det falske påloggingsskjemaet sendes direkte til svindlerne. Når angriperne får tilgang til en e-postkonto, kan de utnytte den på flere måter:

• Få tilgang til sensitive e-poster og lagret personlig informasjon.

• Tilbakestill passord for tilknyttede kontoer og tjenester.

• Utgi deg for å være offeret i ytterligere phishing-kampanjer.

• Begå identitetstyveri og andre former for svindel.

Det er viktig å understreke at Google ikke har noen tilknytning til denne operasjonen, og nettstedet som brukes i svindelen er ikke tilknyttet noen legitim e-posttjeneste eller dokumentdelingsplattform.

Varseltegn som avslører svindelen

Flere indikatorer avslører den falske naturen til disse e-postene. Meldingen skaper unødvendig hastverk gjennom en melding om at dokumentet utløper, ber om handling via en ukjent ekstern lenke og leder mottakerne til en påloggingsside som ikke er relatert til noen legitim tjeneste. Kravet om å oppgi e-postadresse bare for å se et delt dokument er et annet stort rødt flagg.

Brukere bør alltid bekrefte avsenderen, inspisere lenker nøye før de klikker, og være mistenksomme overfor uønskede varsler om deling av dokumenter, spesielt når de krever umiddelbar handling.

Mer enn legitimasjonstyveri: Risikoen for skadelig programvare

Selv om denne kampanjen fokuserer på å stjele påloggingsinformasjon, brukes lignende svindel-e-poster ofte til å distribuere skadelig programvare. Nettkriminelle leverer ofte skadelig programvare gjennom spam-e-poster som inneholder infiserte vedlegg eller lenker til skadelige nettsteder.

Vanlige skadelige filtyper inkluderer kjørbare programmer, komprimerte arkiver, PDF-filer og Microsoft Office-dokumenter. I noen tilfeller kan åpning av en fil utløse kjøring av skadelig kode. I andre tilfeller kan mottakerne bli bedt om å aktivere makroer eller laste ned tilleggsinnhold som starter infeksjonsprosessen.

Lenker innebygd i phishing-e-poster kan også omdirigere brukere til nettsteder som automatisk laster ned skadelig programvare eller oppfordre dem til å kjøre farlige filer manuelt.

Slik svarer du på disse e-postene

Hvis en e-post med teksten «Sikker dokument for gjennomgang» kommer inn i innboksen din, er den sikreste fremgangsmåten enkel:

• Ikke klikk på noen lenker eller knapper i meldingen.
• Ikke skriv inn påloggingsinformasjon på noen sider som nås via e-post.
• Slett e-posten og merk den som phishing eller spam hvis mulig.
• Endre kontopassord umiddelbart hvis påloggingsinformasjon allerede er sendt inn.

Sluttvurdering

E-posten «Sikker dokument for gjennomgang» er et phishing-svindelnummer forkledd som et varsel om dokumentdeling. Den hevder feilaktig at et konfidensielt kontraktsdokument venter på gjennomgang, og leder mottakerne til en forfalsket innloggingsside på esnad-fls(dot)com. Målet er å stjele e-postkontoinformasjon, som deretter kan brukes til kontoovertakelse, identitetstyveri og annen nettkriminell aktivitet. Mottakere bør unngå å samhandle med e-posten, avstå fra å klikke på lenker og slette meldingen umiddelbart.