Escrocherie prin e-mail cu actualizare a stării DHL Express Commerce

Cercetătorii în domeniul securității cibernetice au analizat e-mailurile de actualizare a stării DHL Express Commerce și au stabilit că acestea sunt mesaje de phishing concepute pentru a fura datele de autentificare ale utilizatorilor. E-mailurile se deghizează în notificări legitime de la DHL Express Commerce și informează în mod fals destinatarii că le-au fost partajate trei documente.

Mesajele sosesc de obicei cu subiectul „DHL Express Commerce” și sunt atent concepute pentru a semăna cu notificările de pe o platformă de partajare a documentelor. Pentru a le spori credibilitatea, e-mailurile afișează o linie care pare a fi un atașament numit „DHL Express Invoice Payment.docx”. Totuși, acesta nu este un fișier atașat propriu-zis. În schimb, este un element pe care se poate face clic, creat pentru a induce destinatarii în eroare și a-i face să interacționeze cu e-mailul.

Conform conținutului mesajului, sistemul a detectat trei documente care au fost partajate cu destinatarul și se presupune că pot fi accesate imediat.

Capcana portalului de documente false

Escrocheria se bazează pe convingerea destinatarilor să dea clic fie pe atașamentul contrafăcut, fie pe butonul „Vizualizare documente”. Indiferent de opțiunea selectată, ambele direcționează utilizatorii către aceeași destinație frauduloasă.

Pagina la care se face trimitere este găzduită pe platforma Firebase Storage a Google. Deși Firebase este un serviciu legitim de găzduire în cloud, infractorii cibernetici abuzează frecvent de platforme reputate pentru a găzdui conținut rău intenționat, deoarece astfel de domenii par adesea de încredere și pot evita filtrele de securitate de bază.

Odată ce vizitatorii ajung pe pagină, li se prezintă un formular fals de conectare DHL Express, care solicită o adresă de e-mail și o parolă. În ciuda aparenței sale, pagina nu are nicio legătură cu DHL. Orice date de autentificare introduse în formular sunt transmise direct escrocilor care operează campania.

De ce sunt atât de valoroase acreditările furate

Datele de autentificare se numără printre cele mai căutate resurse de către infractorii cibernetici. Multe persoane reutilizează aceeași parolă pe mai multe conturi online, ceea ce face ca un singur set de date compromise să fie extrem de valoros.

Când atacatorii obțin informații de conectare prin campanii de phishing, aceștia testează adesea aceste acreditări pe diverse servicii, inclusiv platforme de e-mail, site-uri de cumpărături, conturi de stocare în cloud și rețele de socializare. Compromiterea cu succes a conturilor poate duce la achiziții neautorizate, furt de identitate, preluări de conturi, pierderi financiare și pierderea accesului la servicii online importante.

Din acest motiv, destinatarii nu ar trebui să introducă niciodată credențiale pe site-uri web accesate prin e-mailuri nesolicitate fără a verifica mai întâi legitimitatea mesajului și a destinației.

Semne de avertizare care dezvăluie înșelătoria

Mai mulți indicatori dezvăluie natura frauduloasă a acestor e-mailuri:

• Mesajul susține că documentele au fost partajate în mod neașteptat și încurajează interacțiunea imediată.
• Fișierul „DHL Express Invoice Payment.docx” afișat este doar o capcană pe care se poate da clic, nu un atașament real.
• Ambele elemente pe care se poate da clic duc la aceeași pagină de conectare în loc de un serviciu legitim de partajare a documentelor.
• Site-ul web solicită date de e-mail, deși nu are nicio legătură legitimă cu DHL.
• Comunicarea încearcă să valorifice reputația unui brand de încredere pentru a câștiga încrederea destinatarului.

Conexiunea potențială cu programele malware

Campaniile de phishing nu se limitează întotdeauna la furtul de acreditări. În unele cazuri, e-mailuri spam similare sunt folosite și pentru a distribui programe malware.

Infractorii cibernetici deghizează de obicei fișierele rău intenționate sub formă de facturi, notificări de livrare, confirmări de plată, contracte sau alte documente comerciale obișnuite. Aceste fișiere dăunătoare pot fi livrate ca programe executabile, arhive comprimate, documente PDF, scripturi sau fișiere Microsoft Office care conțin cod rău intenționat încorporat.

Infecțiile necesită adesea o formă de interacțiune din partea utilizatorului înainte ca malware-ul să fie activat. Deschiderea unui atașament rău intenționat, activarea macrocomenzilor, executarea unui fișier descărcat sau clicul pe un link înșelător pot declanșa procesul de compromitere. Prudenția în gestionarea e-mailurilor nesolicitate reduce semnificativ probabilitatea de infectare.

Cum să răspundeți dacă primiți e-mailul

Dacă acest e-mail apare într-o căsuță poștală, cea mai sigură abordare este să evitați interacțiunea cu orice linkuri, butoane sau atașamente conținute în acesta. Mesajul trebuie șterse imediat. Persoanele care și-au trimis deja datele de autentificare prin pagina falsă de conectare ar trebui să schimbe fără întârziere parolele afectate și să actualizeze orice alte conturi care utilizează aceleași date de autentificare. Activarea autentificării multi-factor ori de câte ori este posibil poate oferi un nivel suplimentar de protecție împotriva accesului neautorizat.

Evaluare finală

E-mailul de actualizare a stării DHL Express Commerce este o înșelătorie de tip phishing concepută pentru a obține acreditările de conectare prin uzurparea identității DHL Express Commerce. Atât linia falsă de atașament, cât și butonul „Vizualizare documente” redirecționează utilizatorii către aceeași pagină de conectare frauduloasă găzduită printr-un serviciu cloud abuzat. Întrucât campania nu are nicio afiliere cu DHL sau cu nicio organizație legitimă, destinatarii ar trebui să trateze aceste mesaje ca fiind rău intenționate, să evite orice interacțiune cu conținutul lor și să le elimine imediat din căsuțele lor poștale.