Escrocherie prin e-mail cu revalidarea proprietății domeniului

E-mailurile neașteptate care necesită acțiuni urgente trebuie tratate întotdeauna cu prudență. Infractorii cibernetici se dau adesea drept organizații și organisme de reglementare de încredere pentru a crea un fals sentiment de urgență și a presa destinatarii să ia decizii pripite. E-mailurile „Revalidarea proprietății domeniului este necesară” sunt un exemplu excelent al acestei tactici. Cercetătorii în domeniul securității au identificat aceste mesaje ca parte a unei campanii de phishing concepute pentru a fura datele de autentificare ale contului de e-mail. Este important de menționat că aceste e-mailuri nu sunt asociate cu nicio companie, organizație, registrator de domenii sau autoritate de reglementare legitimă.

Deghizat ca o notificare oficială de conformitate

E-mailurile frauduloase sunt concepute pentru a semăna cu notificările oficiale de conformitate a domeniului. Destinatarii sunt informați că proprietatea domeniului lor nu a fost revalidată în ultimele 90 de zile și că sunt necesare măsuri pentru a rămâne în conformitate cu presupusele reglementări. Mesajele fac referire la „Regulamentul ICANN 3.18” și avertizează că nefinalizarea procesului de verificare va duce la suspendarea atât a serviciilor de e-mail primite, cât și a celor trimise în termen de șapte zile.

Limbajul folosit în tot e-mailul are scopul de a crea îngrijorare și urgență. Prin amenintarea cu întreruperi ale serviciilor, escrocii încearcă să convingă destinatarii să acționeze imediat fără a verifica autenticitatea mesajului.

Procesul de revalidare falsă

În centrul escrocheriei se află un buton etichetat de obicei „Revalidează domeniul acum”. Dacă se dă clic pe acest buton, utilizatorii sunt redirecționați către o pagină de conectare webmail frauduloasă, care se deghizează într-un portal de servicii de e-mail legitim.

Pagina de phishing imită o fereastră de conectare Roundcube Webmail și este găzduită prin platforma Firebase Storage a Google. Pentru ca pagina să pară mai convingătoare, adresa de e-mail a victimei poate fi deja completată automat. Utilizatorii sunt apoi instruiți să introducă parola pentru a continua cu presupusul proces de verificare.

În realitate, pagina are un singur scop: colectarea credențialelor de conectare și transmiterea lor direct atacatorilor.

Ce se întâmplă când sunt furate acreditările?

Conturile de e-mail compromise pot oferi infractorilor cibernetici acces la o cantitate semnificativă de informații personale și legate de afaceri. Întrucât conturile de e-mail sunt adesea legate de numeroase servicii online, atacatorii pot utiliza datele de autentificare furate pentru a-și extinde și mai mult accesul.

Odată ce au obținut controlul asupra unui cont de e-mail, infractorii pot:

• Citiți mesajele confidențiale și comunicările sensibile.
• Resetează parolele pentru conturile online conectate.
• Dă-te drept victimă în comunicările cu colegii, clienții, prietenii sau membrii familiei.

• Distribuiți e-mailuri suplimentare de phishing dintr-un cont de încredere.

• Colectați informații personale pentru furt de identitate sau fraudă financiară.

Deoarece conturile de e-mail servesc adesea drept principală metodă de recuperare pentru alte servicii, o singură cutie poștală compromisă poate duce la preluarea controlului asupra mai multor conturi.

De ce afirmațiile sunt false

Mai mulți indicatori expun natura frauduloasă a acestor e-mailuri. Mesajele încearcă să exploateze autoritatea Corporației pentru Nume și Numere de Internet, cunoscută în mod obișnuit sub numele de ICANN, sugerând în mod fals că revalidarea domeniului este aplicată prin notificări directe prin e-mail.

În realitate, ICANN nu contactează utilizatorii individuali prin mesaje nesolicitate care solicită revalidarea domeniului. În plus, nicio autoritate legitimă de domeniu sau furnizor de servicii reputat nu le cere utilizatorilor să verifice datele de autentificare printr-un link încorporat într-un e-mail neașteptat.

Numele expeditorului afișat adesea în aceste mesaje, „Global Domain Validation Center” (Centrul Global de Validare a Domeniilor), nu are nicio legătură recunoscută cu ICANN, registratorii acreditați sau orice organizație legitimă de gestionare a domeniilor. Întregul scenariu este fabricat pentru a crea credibilitate și a înșela destinatarii.

Amenințarea mai amplă dincolo de furtul de acreditări

Deși obiectivul principal al acestei campanii este colectarea de acreditări, e-mailuri frauduloase similare sunt frecvent folosite și pentru distribuirea de programe malware. Actorii amenințători utilizează în mod obișnuit atacuri bazate pe e-mailuri pentru a livra software rău intenționat potențialelor victime.

E-mailurile legate de programe malware pot include atașamente infectate sau linkuri care duc către site-uri web rău intenționate. Printre tipurile de fișiere comune utilizate în aceste atacuri se numără fișiere executabile, documente PDF, arhive precum fișiere ZIP sau RAR, scripturi și documente Office care conțin cod dăunător. În unele cazuri, utilizatorilor li se solicită să activeze macrocomenzi sau alte funcții care declanșează procesul de infectare.

Majoritatea infecțiilor cu programe malware transmise prin e-mail necesită un anumit nivel de interacțiune cu utilizatorul, cum ar fi deschiderea unui atașament, lansarea unui fișier descărcat, clicul pe un link rău intenționat sau activarea conținutului încorporat. De aceea, prudența și verificarea rămân esențiale atunci când se gestionează mesaje neașteptate.

Cum să răspunzi la aceste e-mailuri

Destinatarii care primesc un e-mail cu textul „Revalidarea proprietății domeniului este necesară” ar trebui să evite orice interacțiune cu mesajul. Nu trebuie să se dea clic pe linkuri, nu trebuie să se deschidă atașamente, iar informațiile personale nu trebuie trimise niciodată prin pagini la care se ajunge prin e-mailuri nesolicitate.

Cea mai sigură soluție este ștergerea imediată a e-mailului. Persoanele care și-au introdus deja datele de autentificare în pagina de phishing ar trebui să își schimbe fără întârziere parola de e-mail, să actualizeze parolele pentru orice conturi care ar putea partaja aceleași date de autentificare și să activeze autentificarea multi-factor oriunde este posibil.

Gânduri finale

Campania de e-mailuri „Revalidarea proprietății domeniului este necesară” este o înșelătorie de tip phishing deghizată sub forma unei notificări de conformitate legate de ICANN. Scopul său este de a păcăli destinatarii să își renunțe la datele de autentificare ale contului de e-mail prin intermediul unei pagini de conectare frauduloase la webmail. Mesajele se bazează pe frică, urgență și afirmații false din partea reglementărilor pentru a manipula victimele să acționeze fără o verificare adecvată.

Înțelegerea modului în care funcționează aceste escrocherii este esențială pentru protejarea informațiilor sensibile. Rămânând sceptici față de solicitările neașteptate, verificând afirmațiile prin canale oficiale și evitând linkurile conținute în e-mailurile nesolicitate, utilizatorii își pot reduce semnificativ riscul de a deveni victime ale furtului de acreditări și ale altor amenințări cibernetice.