Мошенническая рассылка электронных писем с уведомлением об обновлении статуса DHL Express Commerce.

Исследователи в области кибербезопасности проанализировали электронные письма с обновлениями статуса от DHL Express Commerce и установили, что это фишинговые сообщения, предназначенные для кражи учетных данных пользователей. Эти письма выдают себя за законные уведомления от DHL Express Commerce и ложно сообщают получателям о том, что им были отправлены три документа.

Сообщения обычно приходят с темой «DHL Express Commerce» и тщательно составлены так, чтобы имитировать уведомления от платформы для обмена документами. Для повышения доверия в электронных письмах отображается строка, которая выглядит как вложение с именем «DHL Express Invoice Payment.docx». Однако это не настоящий файл. Вместо этого это кликабельный элемент, созданный для того, чтобы обманом заставить получателей взаимодействовать с письмом.

Согласно содержанию сообщения, система обнаружила три документа, которые были отправлены получателю и, предположительно, доступны для немедленного доступа.

Ловушка портала поддельных документов

Мошенническая схема основана на убеждении получателей нажать либо на поддельное вложение, либо на кнопку «Просмотреть документы». Независимо от выбранного варианта, оба перенаправляют пользователей на один и тот же мошеннический сайт.

Ссылка на страницу ведет на платформу Google Firebase Storage. Хотя Firebase — это легитимный облачный хостинг, киберпреступники часто злоупотребляют авторитетными платформами для размещения вредоносного контента, поскольку такие домены часто выглядят заслуживающими доверия и могут обходить базовые фильтры безопасности.

Посетители, попав на страницу, видят поддельную форму входа в систему DHL Express, запрашивающую адрес электронной почты и пароль. Несмотря на внешний вид, страница не имеет никакого отношения к DHL. Все данные, введенные в форму, передаются напрямую мошенникам, ведущим эту мошенническую схему.

Почему украденные учетные данные так ценны

Учетные данные для входа в систему являются одним из наиболее востребованных активов для киберпреступников. Многие люди используют один и тот же пароль для нескольких учетных записей в интернете, поэтому скомпрометированный набор учетных данных представляет собой огромную ценность.

Когда злоумышленники получают учетные данные для входа в систему посредством фишинговых кампаний, они часто проверяют эти учетные данные на различных сервисах, включая почтовые платформы, сайты онлайн-торговли, облачные хранилища и социальные сети. Успешный взлом учетных записей может привести к несанкционированным покупкам, краже личных данных, захвату учетных записей, финансовым потерям и потере доступа к важным онлайн-сервисам.

По этой причине получателям ни в коем случае не следует вводить учетные данные на веб-сайтах, ссылки на которые приходят из незапрошенных электронных писем, не проверив предварительно подлинность сообщения и адресата.

Признаки, указывающие на мошенничество

Несколько признаков указывают на мошеннический характер этих электронных писем:

• В сообщении утверждается, что документы были отправлены неожиданно, и содержится призыв к немедленному взаимодействию.
• Отображаемый файл «DHL Express Invoice Payment.docx» — это всего лишь кликабельная ссылка, а не настоящий файл.
• Оба кликабельных элемента ведут на одну и ту же страницу входа, а не на легитимный сервис обмена документами.
• Веб-сайт запрашивает учетные данные электронной почты, несмотря на отсутствие какой-либо законной связи с DHL.
• Цель коммуникации — использовать репутацию заслуживающего доверия бренда, чтобы завоевать доверие получателя.

Возможная связь с вредоносным ПО

Фишинговые кампании не всегда ограничиваются кражей учетных данных. В некоторых случаях аналогичные спам-письма используются также для распространения вредоносного ПО.

Киберпреступники обычно маскируют вредоносные файлы под счета-фактуры, уведомления об отправке, подтверждения платежей, контракты или другие обычные деловые документы. Эти вредоносные файлы могут распространяться в виде исполняемых программ, сжатых архивов, PDF-документов, скриптов или файлов Microsoft Office, содержащих встроенный вредоносный код.

Для активации вредоносного ПО часто требуется какое-либо взаимодействие с пользователем. Открытие вредоносного вложения, включение макросов, выполнение загруженного файла или переход по обманчивой ссылке могут запустить процесс взлома. Проявление осторожности при работе с незапрошенными электронными письмами значительно снижает вероятность заражения.

Как ответить, если вы получили электронное письмо

Если это письмо появилось во входящих, наиболее безопасный подход — избегать взаимодействия с любыми ссылками, кнопками или вложениями, содержащимися в нем. Сообщение следует немедленно удалить. Лицам, которые уже ввели свои учетные данные через поддельную страницу входа, следует незамедлительно сменить пароли и обновить все другие учетные записи, использующие те же учетные данные. Включение многофакторной аутентификации везде, где это возможно, может обеспечить дополнительный уровень защиты от несанкционированного доступа.

Итоговая оценка

Электронное письмо с обновлением статуса DHL Express Commerce — это фишинговая афера, цель которой — получить учетные данные для входа в систему, выдавая себя за DHL Express Commerce. Поддельная строка с вложением и кнопка «Просмотреть документы» перенаправляют пользователей на одну и ту же мошенническую страницу входа, размещенную на скомпрометированном облачном сервисе. Поскольку эта кампания не имеет никакого отношения к DHL или какой-либо законной организации, получателям следует воспринимать эти сообщения как вредоносные, избегать любого взаимодействия с их содержимым и немедленно удалять их из своих почтовых ящиков.