DHL - ВАША ПОСЫЛКА ДОСТАВЛЕНА. Мошенничество по электронной почте.

Киберпреступники рассылают убедительно выглядящие электронные письма, выдавая их за уведомления о доставке посылок от DHL. На первый взгляд, они имитируют настоящие сообщения о доставке, но на самом деле это мошеннические фишинговые атаки, целью которых является кража учётных данных электронной почты и, через них, других конфиденциальных учётных записей. Эти мошеннические сообщения не связаны ни с DHL, ни с какой-либо законной курьерской службой, компанией или поставщиком услуг.

КАК РАБОТАЕТ АФЕРА — ПРИМАНКА, НАВЕСКИ, УРОЖАЙ

Злоумышленники отправляют сообщения с темами вроде «Уведомление об отправке DHL: уведомление о прибытии посылки для AWB № 4014983405» (формулировка может варьироваться). В тексте сообщения утверждается, что посылка обработана или доставлена, и получателям предлагаются вложения для получения информации о доставке. К сообщению прилагаются два HTML-вложения — с разными названиями файлов, но идентичным содержанием и внешним видом. Вложения используют фирменную символику DHL и сообщение следующего содержания: «Этот документ защищён / Требуется аутентификация электронной почты. Войдите, используя свой адрес электронной почты, чтобы просмотреть документ». Когда жертва вводит свои учётные данные электронной почты на этой странице, эти данные перехватываются фишерами. Полученные учётные данные немедленно становятся доступными для доступа к почтовому ящику жертвы и любым другим учётным записям, связанным с этим адресом электронной почты.

КРАСНЫЕ ФЛАГИ И БЫСТРЫЕ ИДЕНТИФИКАТОРЫ

• Адрес отправителя, неожиданные вложения или общее приветствие, несмотря на упоминание сведений о посылке.
• HTML-вложения с просьбой «войти для просмотра» документа вместо обычного PDF-файла или ссылки отслеживания с официального домена DHL.
• Срочная формулировка, требующая от вас немедленной аутентификации или «верификации».
• Несоответствия в брендинге, грамматические ошибки или ссылки, которые не ведут на официальный домен DHL.

ПОЧЕМУ ЭТО ОПАСНО — ЗА ПРЕДЕЛАМИ ОДНОЙ УЧЕТНОЙ ЗАПИСИ

Взломанный аккаунт электронной почты — это своего рода шлюз: злоумышленники могут читать личные сообщения, сбрасывать пароли в других сервисах, выдавать себя за вас в контактах, требовать деньги или распространять вредоносное ПО и вредоносные ссылки в вашей адресной книге и социальных сетях. Учетные записи, связанные с финансами, которые используют те же учетные данные или адрес электронной почты для восстановления, особенно подвержены риску: мошенники могут инициировать транзакции, совершать покупки или запрашивать переводы. Этот вид мошенничества также служит вектором для распространения различных вредоносных программ (троянов, программ-вымогателей, криптомайнеров) или для осуществления вторичных мошеннических действий (возврат средств, получение аванса, техническая поддержка, секс-шантаж и т. д.).

НЕМЕДЛЕННЫЕ ДЕЙСТВИЯ

• Немедленно измените пароль уязвимой учетной записи электронной почты и включите двухфакторную аутентификацию (2FA).

• Для каждой службы, использующей один и тот же адрес электронной почты/пароль, измените эти пароли и включите 2FA, где это возможно; рассматривайте любую учетную запись, связанную с этим адресом электронной почты, как потенциально скомпрометированную.

• Сообщите об этом официальным службам поддержки финансовых сервисов, торговых площадок и других конфиденциальных платформ, где используется ваш адрес электронной почты. Сообщите о фишинговом письме своему провайдеру электронной почты и отметьте его как фишинговое.

• Сканируйте свои устройства с помощью современных средств защиты от вредоносных программ и проверяйте исходящие/отправленные сообщения на наличие несанкционированных сообщений; сообщайте контактам, если с вашего аккаунта могли быть отправлены подозрительные сообщения.

КАК ВРЕДОНОСНЫЕ ПО И ВЛОЖЕНИЯ МЕСТО В ЦЕПОЧКЕ ЗАРАЖЕНИЯ

Спам может содержать вредоносные данные во многих форматах: HTML-вложения (как в фишинговых рассылках DHL), документы (PDF, файлы Office, OneNote), архивы (ZIP, RAR), исполняемые файлы (.exe), а также скрипты и JavaScript. Для активации некоторых типов файлов пользователю требуется дополнительное действие — включение макросов в файлах Office, переход по встроенным ссылкам или открытие вложений в OneNote. После активации вредоносное ПО может внедрять трояны, программы-вымогатели или бэкдоры, обеспечивающие постоянный доступ и дополнительную кражу данных.

РИСКИ РЕАЛЬНЫ, ИХ СМЯГЧЕНИЕ ПРОСТО

Письма с текстом «DHL — ВАША ПОСЫЛКА ДОСТАВЛЕНА» — это мошеннические фишинговые атаки, основанные на использовании бренда доверия и поддельных вложений, чтобы заставить пользователей раскрыть свои учетные данные. Эти сообщения не связаны с DHL или какой-либо легальной организацией. Попадание в такую ситуацию может привести к нарушению конфиденциальности, краже личных данных, финансовым потерям и заражению вредоносным ПО, но быстрые действия (смена паролей, включение двухфакторной аутентификации, уведомление службы поддержки) и соблюдение мер предосторожности (не открывайте подозрительные вложения, проверяйте ссылки) значительно снижают риск.