Oszustwo e-mailowe z aktualizacją statusu DHL Express Commerce

Analitycy ds. cyberbezpieczeństwa przeanalizowali e-maile z aktualizacją statusu DHL Express Commerce i ustalili, że są to wiadomości phishingowe, których celem jest kradzież danych logowania użytkowników. E-maile podszywają się pod autentyczne powiadomienia od DHL Express Commerce i fałszywie informują odbiorców o udostępnieniu im trzech dokumentów.

Wiadomości zazwyczaj mają temat „DHL Express Commerce” i są starannie skonstruowane tak, aby przypominały powiadomienia z platformy do udostępniania dokumentów. Aby zwiększyć ich wiarygodność, w wiadomościach e-mail wyświetla się link przypominający załącznik o nazwie „Płatność faktury DHL Express.docx”. Nie jest to jednak rzeczywisty plik załącznika. Jest to klikalny element, który ma na celu zmylenie odbiorców i zachęcenie ich do interakcji z wiadomością.

Z treści wiadomości wynika, że system wykrył trzy dokumenty udostępnione odbiorcy, do których dostęp powinien być natychmiastowy.

Pułapka portalu fałszywych dokumentów

Oszustwo polega na przekonaniu odbiorców do kliknięcia fałszywego załącznika lub przycisku „Wyświetl dokumenty”. Niezależnie od wybranej opcji, obie kierują użytkowników do tego samego, fałszywego adresu.

Podlinkowana strona jest hostowana na platformie Google Firebase Storage. Chociaż Firebase to legalna usługa hostingu w chmurze, cyberprzestępcy często wykorzystują renomowane platformy do hostowania złośliwych treści, ponieważ takie domeny często wydają się godne zaufania i mogą ominąć podstawowe filtry bezpieczeństwa.

Po wejściu na stronę, odwiedzający widzą fałszywy formularz logowania DHL Express z prośbą o podanie adresu e-mail i hasła. Pomimo pozorów, strona nie ma nic wspólnego z DHL. Wszelkie dane uwierzytelniające wprowadzone do formularza są przekazywane bezpośrednio oszustom prowadzącym kampanię.

Dlaczego skradzione dane uwierzytelniające są tak cenne

Dane logowania należą do najcenniejszych zasobów cyberprzestępców. Wiele osób używa tego samego hasła na wielu kontach internetowych, co sprawia, że pojedynczy, skompromitowany zestaw danych logowania jest niezwykle cenny.

Kiedy atakujący uzyskują dane logowania za pośrednictwem kampanii phishingowych, często testują te dane uwierzytelniające w różnych usługach, takich jak platformy e-mail, sklepy internetowe, konta w chmurze i portale społecznościowe. Skuteczne włamania na konta mogą skutkować nieautoryzowanymi zakupami, kradzieżą tożsamości, przejęciem kont, stratami finansowymi i utratą dostępu do ważnych usług online.

Z tego powodu adresaci nigdy nie powinni podawać swoich danych uwierzytelniających na stronach internetowych, do których docierają za pośrednictwem niechcianych wiadomości e-mail, bez wcześniejszego sprawdzenia autentyczności wiadomości i adresata.

Znaki ostrzegawcze, które ujawniają oszustwo

Istnieje kilka oznak wskazujących na oszukańczy charakter tych wiadomości e-mail:

• W wiadomości stwierdzono, że dokumenty udostępniono niespodziewanie, i zachęcono do natychmiastowej interakcji.
• Wyświetlany plik „Płatność faktury DHL Express.docx” jest jedynie klikalną zachętą, a nie rzeczywistym załącznikiem.
• Oba klikalne elementy prowadzą do tej samej strony logowania, a nie do legalnej usługi udostępniania dokumentów.
• Strona internetowa żąda podania danych do poczty e-mail, mimo że nie ma żadnego faktycznego związku z DHL.
• Celem komunikacji jest wykorzystanie reputacji zaufanej marki w celu zdobycia zaufania odbiorcy.

Potencjalne połączenie ze złośliwym oprogramowaniem

Kampanie phishingowe nie zawsze ograniczają się do kradzieży danych uwierzytelniających. W niektórych przypadkach podobne wiadomości spamowe są również wykorzystywane do dystrybucji złośliwego oprogramowania.

Cyberprzestępcy często maskują złośliwe pliki pod postacią faktur, powiadomień o wysyłce, potwierdzeń płatności, umów lub innych rutynowych dokumentów biznesowych. Te szkodliwe pliki mogą być dostarczane jako programy wykonywalne, skompresowane archiwa, dokumenty PDF, skrypty lub pliki pakietu Microsoft Office zawierające osadzony złośliwy kod.

Infekcje często wymagają jakiejś formy interakcji użytkownika, zanim złośliwe oprogramowanie zostanie aktywowane. Otwarcie złośliwego załącznika, włączenie makr, uruchomienie pobranego pliku lub kliknięcie podejrzanego linku może zainicjować proces ataku. Zachowanie ostrożności podczas obsługi niechcianych wiadomości e-mail znacznie zmniejsza ryzyko infekcji.

Jak odpowiedzieć, jeśli otrzymasz wiadomość e-mail

Jeśli ta wiadomość e-mail pojawi się w skrzynce odbiorczej, najbezpieczniej jest unikać interakcji z zawartymi w niej linkami, przyciskami i załącznikami. Wiadomość należy natychmiast usunąć. Osoby, które podały już swoje dane logowania za pośrednictwem fałszywej strony logowania, powinny niezwłocznie zmienić hasła i zaktualizować wszystkie inne konta korzystające z tych samych danych. Włączenie uwierzytelniania wieloskładnikowego, gdziekolwiek to możliwe, może zapewnić dodatkową warstwę ochrony przed nieautoryzowanym dostępem.

Ocena końcowa

E-mail z aktualizacją statusu DHL Express Commerce to próba wyłudzenia danych logowania poprzez podszywanie się pod DHL Express Commerce. Fałszywy załącznik i przycisk „Wyświetl dokumenty” przekierowują użytkowników na tę samą fałszywą stronę logowania hostowaną za pośrednictwem nieuczciwej usługi w chmurze. Ponieważ kampania nie jest powiązana z DHL ani żadną legalną organizacją, odbiorcy powinni traktować te wiadomości jako złośliwe, unikać wszelkiej interakcji z ich treścią i natychmiast usunąć je ze swoich skrzynek odbiorczych.