Oplichting via e-mail met statusupdate van DHL Express Commerce

Onderzoekers op het gebied van cyberbeveiliging hebben de e-mails met statusupdates van DHL Express Commerce geanalyseerd en vastgesteld dat het phishingberichten zijn die bedoeld zijn om inloggegevens van gebruikers te stelen. De e-mails doen zich voor als legitieme meldingen van DHL Express Commerce en informeren ontvangers ten onrechte dat er drie documenten met hen zijn gedeeld.

De berichten hebben doorgaans als onderwerp 'DHL Express Commerce' en zijn zorgvuldig vormgegeven om te lijken op meldingen van een platform voor het delen van documenten. Om hun geloofwaardigheid te vergroten, tonen de e-mails een regel die lijkt op een bijlage met de naam 'DHL Express Invoice Payment.docx'. Dit is echter geen echte bijlage. Het is een klikbaar element dat is ontworpen om ontvangers te misleiden en hen ertoe aan te zetten de e-mail te openen.

Volgens de berichtinhoud heeft het systeem drie documenten gedetecteerd die met de ontvanger zijn gedeeld en die naar verluidt direct toegankelijk zijn.

De valstrik van het nepdocumentenportaal

De oplichting is erop gericht ontvangers ertoe te bewegen op de valse bijlage of op de knop 'Documenten bekijken' te klikken. Ongeacht welke optie wordt gekozen, leiden beide gebruikers naar dezelfde frauduleuze website.

De gelinkte pagina wordt gehost op het Firebase Storage-platform van Google. Hoewel Firebase een legitieme cloudhostingdienst is, misbruiken cybercriminelen vaak gerenommeerde platforms om kwaadaardige inhoud te hosten, omdat dergelijke domeinen vaak betrouwbaar lijken en basisbeveiligingsfilters kunnen omzeilen.

Zodra bezoekers op de pagina terechtkomen, krijgen ze een nep-inlogformulier van DHL Express te zien waarin om een e-mailadres en wachtwoord wordt gevraagd. Ondanks de schijn heeft de pagina geen enkele connectie met DHL. Alle inloggegevens die in het formulier worden ingevoerd, worden direct doorgestuurd naar de oplichters die de campagne uitvoeren.

Waarom gestolen inloggegevens zo waardevol zijn

Inloggegevens behoren tot de meest begeerde bezittingen voor cybercriminelen. Veel mensen gebruiken hetzelfde wachtwoord voor meerdere online accounts, waardoor een gecompromitteerde set inloggegevens zeer waardevol is.

Wanneer aanvallers via phishingcampagnes inloggegevens bemachtigen, testen ze die gegevens vaak op verschillende diensten, waaronder e-mailplatforms, webwinkels, cloudopslagaccounts en sociale media. Succesvolle accountinbraken kunnen leiden tot ongeautoriseerde aankopen, identiteitsdiefstal, accountovernames, financiële verliezen en het verlies van toegang tot belangrijke online diensten.

Om deze reden mogen ontvangers nooit inloggegevens invoeren op websites die ze via ongevraagde e-mails bereiken, zonder eerst de legitimiteit van het bericht en de bestemming te controleren.

Waarschuwingssignalen die de oplichting onthullen

Verschillende indicatoren tonen aan dat deze e-mails frauduleus zijn:

• Het bericht stelt dat documenten onverwacht zijn gedeeld en roept op tot onmiddellijke reactie.
• Het weergegeven bestand 'DHL Express Invoice Payment.docx' is slechts een aanklikbare link en geen echte bijlage.
• Beide klikbare elementen leiden naar dezelfde inlogpagina in plaats van naar een legitieme dienst voor het delen van documenten.
• De website vraagt om e-mailgegevens, terwijl er geen legitieme link is met DHL.
• De communicatie probeert de reputatie van een vertrouwd merk te benutten om het vertrouwen van de ontvanger te winnen.

De mogelijke link met malware

Phishingcampagnes beperken zich niet altijd tot het stelen van inloggegevens. In sommige gevallen worden soortgelijke spammails ook gebruikt om malware te verspreiden.

Cybercriminelen vermommen kwaadaardige bestanden vaak als facturen, verzendberichten, betalingsbevestigingen, contracten of andere standaard zakelijke documenten. Deze schadelijke bestanden kunnen worden verspreid als uitvoerbare programma's, gecomprimeerde archieven, PDF-documenten, scripts of Microsoft Office-bestanden met ingebedde kwaadaardige code.

Infecties vereisen vaak een vorm van gebruikersinteractie voordat malware wordt geactiveerd. Het openen van een schadelijke bijlage, het inschakelen van macro's, het uitvoeren van een gedownload bestand of het klikken op een misleidende link kan het infectieproces in gang zetten. Door voorzichtig te zijn met ongevraagde e-mails verkleint u de kans op infectie aanzienlijk.

Hoe te reageren als u de e-mail ontvangt

Als deze e-mail in uw inbox verschijnt, is het het veiligst om geen interactie aan te gaan met links, knoppen of bijlagen in het bericht. Verwijder het bericht onmiddellijk. Personen die hun inloggegevens al via de nep-inlogpagina hebben ingevoerd, moeten de betreffende wachtwoorden zo snel mogelijk wijzigen en alle andere accounts die dezelfde inloggegevens gebruiken, bijwerken. Het inschakelen van multifactorauthenticatie waar mogelijk biedt een extra beveiligingslaag tegen ongeautoriseerde toegang.

Eindbeoordeling

De e-mail met de statusupdate van DHL Express Commerce is een phishing-scam die is ontworpen om inloggegevens te bemachtigen door zich voor te doen als DHL Express Commerce. Zowel de nep-bijlage als de knop 'Documenten bekijken' leiden gebruikers door naar dezelfde frauduleuze inlogpagina die wordt gehost via een misbruikte cloudservice. Aangezien deze campagne geen enkele band heeft met DHL of een legitieme organisatie, moeten ontvangers deze berichten als kwaadaardig beschouwen, de inhoud ervan vermijden en ze onmiddellijk uit hun inbox verwijderen.