Oszustwo e-mailowe „Twoje zamówienie jest w drodze”

Do nieoczekiwanych wiadomości e-mail dotyczących zakupów, dostaw lub aktywności na koncie należy zawsze podchodzić z ostrożnością. Cyberprzestępcy często maskują złośliwe wiadomości pod legalną korespondencją biznesową, próbując wymusić na odbiorcach podjęcie działania bez weryfikacji. Kampania e-mailowa „Twoje zamówienie jest w drodze” jest jednym z takich przykładów. Szczegółowa analiza potwierdziła, że te e-maile to złośliwe wiadomości spamowe i nie są powiązane z żadnymi legalnymi firmami, firmami spedycyjnymi, sprzedawcami detalicznymi ani organizacjami.

Fałszywe powiadomienia o wysyłce, mające na celu wywołanie poczucia pilności

E-maile z informacją „Twoje zamówienie jest w drodze” są tworzone tak, aby przypominały autentyczne powiadomienia o wysyłce. Zazwyczaj zawierają one w temacie numery zamówień i kody referencyjne, aby nadać wiadomości wiarygodny i profesjonalny wygląd.

Odbiorcy są informowani, że ich paczka została rzekomo wysłana i zachęcani do kliknięcia przycisku „Wyświetl szczegóły wysyłki”, aby uzyskać dostęp do informacji o śledzeniu przesyłki i aktualizacji dostawy. Sformułowanie ma na celu wzbudzenie ciekawości i poczucia pilności, zwiększając prawdopodobieństwo, że odbiorcy skorzystają z podanego linku bez dokładnego zapoznania się z treścią wiadomości.

W rzeczywistości e-maile nie dotyczą żadnego konkretnego zakupu ani przesyłki. Ich jedynym celem jest przekierowanie odbiorców na złośliwą stronę internetową, której celem jest infekowanie systemów złośliwym oprogramowaniem.

Złośliwa strona internetowa stojąca za oszustwem

Kliknięcie osadzonego linku przekierowuje użytkowników na fałszywą stronę hostowaną na increminder.com. Strona ma styl przypominający portal do zarządzania zamówieniami lub wysyłką, co dodatkowo wzmacnia iluzję autentyczności.

Strona internetowa twierdzi, że informacje o wysyłce zostały przetworzone i informuje, że szczegóły zamówienia są dostępne do pobrania. Ostrzega również, że pobrany plik może być niezbędny do otrzymania przesyłki – jest to taktyka psychologiczna mająca na celu skłonienie odwiedzających do kontynuowania pobierania.

Zamiast informacji o śledzeniu zamówienia lub dokumentacji zamówienia, witryna dostarcza złośliwy plik o nazwie „ScreenConnect.ClientSetup.msi”. Plik ten wygląda jak normalny instalator systemu Windows, ale w rzeczywistości zawiera zainfekowaną wersję oprogramowania ScreenConnect.

Oprogramowanie do zdalnego dostępu z trojanami stwarza poważne zagrożenie

ScreenConnect to legalne oprogramowanie do zdalnego pulpitu opracowane przez ConnectWise i powszechnie używane przez specjalistów ds. wsparcia IT do zdalnej pomocy i zarządzania systemami. Jednak cyberprzestępcy często nadużywają tych narzędzi, modyfikując je i rozpowszechniając ich zmodyfikowane wersje, które umożliwiają nieautoryzowany zdalny dostęp do urządzeń ofiar.

Po uruchomieniu złośliwego instalatora, narzędzie do zdalnego dostępu może działać dyskretnie w tle, nie wzbudzając podejrzeń. Atakujący mogą wówczas uzyskać rozległą kontrolę nad zainfekowanym systemem i wykonywać szereg złośliwych działań, w tym:

• Kradzież poufnych plików i przechowywanych danych uwierzytelniających
• Monitorowanie aktywności użytkowników i zbieranie poufnych informacji
• Instalowanie dodatkowego złośliwego oprogramowania, takiego jak ransomware lub spyware
• Dokonywanie oszukańczych transakcji lub nadużywanie kont internetowych

Ponieważ złośliwe oprogramowanie umożliwia stały zdalny dostęp, zainfekowane systemy należy uznać za całkowicie zainfekowane.

W jaki sposób kampanie spamowe dostarczają złośliwe oprogramowanie

Kampanie spamowe często rozpowszechniają złośliwe oprogramowanie za pośrednictwem złośliwych załączników lub linków prowadzących do szkodliwych stron internetowych. W wielu przypadkach pliki te są maskowane jako faktury, paragony, dokumenty wysyłkowe lub wyciągi z kont, aby zachęcić odbiorców do ich otwarcia bez podejrzeń.

W tej kampanii atakujący wykorzystują złośliwy link, a nie bezpośredni załącznik. Odbiorcy, którzy klikną link, są kierowani na fałszywy portal zamówień, gdzie są manipulowani i nakłaniani do pobrania zainfekowanego pliku instalatora. Po uruchomieniu złośliwe oprogramowanie ustanawia możliwości zdalnego dostępu, pozostając w dużej mierze niewidoczne dla ofiary.

Metoda ta umożliwia atakującym ominięcie niektórych filtrów bezpieczeństwa poczty elektronicznej, ponieważ szkodliwy ładunek jest hostowany zewnętrznie, a nie dołączany bezpośrednio do wiadomości e-mail.

Natychmiastowe kroki dla użytkowników, których dotyczy problem

Każdy, kto pobrał lub uruchomił instalator „ScreenConnect.ClientSetup.msi”, powinien założyć, że mógł już nastąpić nieautoryzowany dostęp do systemu. Zdecydowanie zaleca się natychmiastowe podjęcie działań w celu zminimalizowania potencjalnych szkód.

Należy niezwłocznie przeprowadzić pełne skanowanie antywirusowe lub antywirusowe, a wszystkie poufne hasła powiązane z zainfekowanym urządzeniem należy zmienić z poziomu oddzielnego, bezpiecznego systemu. Należy również monitorować konta finansowe, konta e-mail i firmowe loginy pod kątem podejrzanej aktywności.

Samą złośliwą wiadomość e-mail należy natychmiast usunąć, a adresaci powinni unikać klikania jakichkolwiek linków i pobierania plików powiązanych z wiadomością.

Jak chronić się przed oszustwami związanymi z dostawami

Kampanie phishingowe i malware związane z dostawą pozostają niezwykle skuteczne, ponieważ wykorzystują powszechne nawyki zakupowe online i oczekiwanie na aktualizacje paczek. Atakujący liczą na szybką reakcję odbiorców, zanim dokładnie ocenią autentyczność wiadomości.

Użytkownicy mogą ograniczyć narażenie na te zagrożenia, weryfikując powiadomienia o przesyłkach bezpośrednio na oficjalnych stronach internetowych sprzedawców detalicznych lub firm kurierskich, unikając pobierania plików z niechcianych wiadomości e-mail i traktując nieoczekiwane powiadomienia o dostawie z dystansem. Nawet e-maile, które wydają się dopracowane i profesjonalne, mogą kryć poważne zagrożenia bezpieczeństwa pod przekonującym brandingiem i natarczywym językiem.