Przejrzyj swoją ostatnią aktywność – oszustwo

Badacze cyberbezpieczeństwa zidentyfikowali szeroko zakrojoną kampanię phishingową znaną jako oszustwo „Przejrzyj swoją ostatnią aktywność”. Wiadomości te fałszywie twierdzą, że do poczty internetowej odbiorcy doszło do podejrzanych logowań i nakłaniają użytkowników do „zabezpieczenia” swoich kont poprzez kliknięcie przycisku prowadzącego do fałszywej strony logowania. Te e-maile to złośliwy spam i nie są powiązane z cPanel, dostawcami poczty internetowej ani żadną legalną firmą, organizacją ani usługą. Należy je traktować jako wrogie próby kradzieży danych uwierzytelniających i dostarczania złośliwego oprogramowania.

Przynęta e-mailowa

Typowe wiadomości (tematy różnią się; jeden z nich zaczyna się od „Wykryliśmy niedawne logowanie na Twoim koncie Webmail, proszę potwierdzić”) przedstawiają sfabrykowane podsumowanie aktywności – zazwyczaj podając trzy ostatnie logowania z różnych regionów (najczęściej Afryki, Europy i Ameryki Północnej). Wiadomość wzywa odbiorcę do natychmiastowego sprawdzenia lub zabezpieczenia konta. Aby wywołać poczucie pilności, ostrzega o ograniczeniu dostępu lub używa dramatycznego języka, mającego na celu skłonienie do działania bez zastanowienia. Obiecany przycisk „Zabezpiecz konto” to pułapka – przekierowuje na stronę zbierającą dane uwierzytelniające, podszywającą się pod legalny formularz logowania do poczty e-mail.

Jak przebiega oszustwo

Jeśli wpiszesz swój adres e-mail i hasło na stronie phishingowej, atakujący przechwycą te dane uwierzytelniające i będą mogli:

• Przejmij kontrolę nad skrzynką odbiorczą i czytaj lub usuwaj wiadomości.
• Wysyłaj wiadomości phishingowe lub oszukańcze do swoich kontaktów (często podszywając się pod Ciebie).
• Użyj przepływów resetowania hasła, aby przejąć kontrolę nad powiązanymi usługami (sieciami społecznościowymi, sklepami, bankowością, przechowywaniem danych w chmurze itp.).
• Dokonuj oszustw, proś o pieniądze od swoich kontaktów lub rozpowszechniaj złośliwe oprogramowanie i linki.
• Sprzedawaj loginy i dane osobowe na czarnym rynku.

Jak rozpoznać wiadomości e-mail typu phishing

• Nieoczekiwany „alert bezpieczeństwa” dotyczący ostatnich logowań, o które nie prosiłeś.
• Naglący język i groźby odłączenia lub zawieszenia konta.
• Widoczny przycisk lub link z etykietą „Bezpieczne konto” / „Przejrzyj aktywność” kierujący do nieznanego adresu URL.
• Nieprawidłowo napisany tekst lub subtelne nieścisłości w logo, adresach nadawcy lub formatowaniu (choć niektóre kampanie wyglądają na bardzo dopracowane).

Ryzyko związane ze spamem

Tego typu ataki spamowe mogą również zawierać załączniki lub linki przenoszące złośliwe oprogramowanie. Typowe typy złośliwych załączników spotykane w tego typu kampaniach to: archiwa (ZIP, RAR), pliki wykonywalne (.exe, .run), dokumenty pakietu Office (Word, Excel), pliki PDF, pliki programu OneNote oraz JavaScript. Niektóre typy plików wymagają dodatkowych działań użytkownika – na przykład dokumenty pakietu Office mogą wymagać włączenia makr, a pliki programu OneNote mogą opierać się na osadzonych linkach – ale po wykonaniu tych działań może rozpocząć się proces instalacji złośliwego oprogramowania.

Wniosek

Kampania „Sprawdź swoją ostatnią aktywność” to wyraźny przykład atakujących, którzy wykorzystują strach i pilną potrzebę zdobycia danych uwierzytelniających i rozprzestrzeniania złośliwego oprogramowania. Pamiętaj: legalni dostawcy rzadko wymagają natychmiastowej weryfikacji za pomocą niechcianych linków e-mail, a prawdziwe alerty bezpieczeństwa można zweryfikować, logując się bezpośrednio na konto za pośrednictwem oficjalnej strony dostawcy lub kontaktując się z pomocą techniczną. Czujność, unikatowe hasła i uwierzytelnianie dwuskładnikowe (2FA) to najlepsze metody obrony. Jeśli Twoje dane zostały już naruszone, działaj szybko — zmień hasła, włącz uwierzytelnianie dwuskładnikowe (2FA), przeskanuj swoje systemy i powiadom dostawców, których dane dotyczą.