Мошенническая схема с электронным письмом, содержащим защищенный документ для проверки.

В условиях современных угроз крайне важно проявлять осторожность с неожиданными электронными письмами. Киберпреступники часто маскируют фишинговые сообщения под легитимные деловые сообщения, чтобы обманом заставить получателей раскрыть конфиденциальную информацию. Письмо «Защищенный документ для проверки» — один из таких примеров. Несмотря на профессиональный вид, эта кампания не связана ни с какой законной компанией, организацией, платформой для обмена документами или почтовым сервисом. Ее единственная цель — украсть учетные данные электронной почты у ничего не подозревающих пользователей.

За кулисами обмана с «защищенным документом для проверки» скрывается

Углубленный анализ электронных писем с пометкой «Защищенный документ для ознакомления» подтвердил, что это фишинговые сообщения, предназначенные для сбора учетных данных для входа в систему. Эти письма маскируются под уведомления о безопасном обмене документами и утверждают, что для ознакомления получателя подготовлен конфиденциальный файл контракта под названием «Contract_Agreement_0035040_ACH_Payment.pdf».

Чтобы создать ощущение срочности, в сообщении указано, что ссылка на документ истечет через 72 часа. Обратный отсчет представлен как функция безопасности, побуждающая получателей действовать быстро, не проверяя тщательно подлинность электронного письма.

Ещё один приём, используемый в подобных сообщениях, — это указание получателям переместить письмо в папку «Входящие», если оно было отфильтровано как спам. Эта попытка создать впечатление надёжности призвана снизить подозрения и повысить вероятность того, что жертва будет взаимодействовать с содержимым письма.

Поддельный защищенный портал документов

В электронном письме содержится кнопка или ссылка с надписью «Открыть документ безопасно». Вместо того чтобы вести на легитимный сервис обмена документами, ссылка перенаправляет пользователей на мошеннический веб-сайт, размещенный по адресу esnad-fls(dot)com.

Этот веб-сайт ложно позиционирует себя как защищенный портал аутентификации электронной почты. Во многих случаях он отображает поддельную страницу входа, которая очень похожа на интерфейс авторизации Google и может быть обозначена как «защищенный портал Gmail». Посетителям предлагается ввести свой адрес электронной почты и пароль для доступа к якобы найденному документу.

Исследователи заметили, что фишинговая страница может динамически изменять свой внешний вид в зависимости от почтового провайдера получателя. Пользователи Gmail могут видеть страницу входа в систему, оформленную в стиле Google, в то время как пользователям других почтовых сервисов могут быть представлены интерфейсы, разработанные таким образом, чтобы напоминать интерфейсы их соответствующих провайдеров. Такая персонализация помогает сделать мошенничество более убедительным.

Что происходит после ввода учетных данных?

Вся информация, предоставленная через мошенническую форму входа, передается напрямую мошенникам. Получив доступ к учетной записи электронной почты, злоумышленники могут использовать ее различными способами:

• Получите доступ к конфиденциальной электронной почте и хранящейся личной информации.

• Сброс паролей для связанных учетных записей и служб.

• В дальнейших фишинговых кампаниях выдавайте себя за жертву.

• Совершать кражу личных данных и другие виды мошенничества.

Важно подчеркнуть, что Google не имеет никакого отношения к этой операции, а веб-сайт, используемый в мошеннической схеме, не связан ни с одним легитимным почтовым сервисом или платформой для обмена документами.

Признаки, указывающие на мошенничество

Несколько признаков указывают на мошеннический характер этих писем. Сообщение создает излишнюю срочность с помощью уведомления об истечении срока действия документа, требует действий по незнакомой внешней ссылке и направляет получателей на страницу входа, не имеющую отношения к какой-либо легитимной службе. Требование ввести учетные данные электронной почты просто для просмотра общего документа — еще один серьезный тревожный сигнал.

Пользователям всегда следует проверять отправителя, внимательно изучать ссылки перед переходом по ним и с подозрением относиться к уведомлениям о незапрошенной передаче документов, особенно если они требуют немедленных действий.

Это не просто кража учетных данных: риск, связанный с вредоносным ПО.

Хотя эта конкретная кампания направлена на кражу учетных данных для входа в систему, аналогичные мошеннические электронные письма часто используются для распространения вредоносного ПО. Киберпреступники часто распространяют вредоносное ПО через спам-письма, содержащие зараженные вложения или ссылки на вредоносные веб-сайты.

К распространённым типам вредоносных файлов относятся исполняемые программы, сжатые архивы, PDF-файлы и документы Microsoft Office. В некоторых случаях открытие файла может привести к выполнению вредоносного кода. В других случаях получателям может быть предложено включить макросы или загрузить дополнительный контент, который запускает процесс заражения.

Ссылки, встроенные в фишинговые электронные письма, также могут перенаправлять пользователей на веб-сайты, которые автоматически загружают вредоносное ПО или побуждают их запускать опасные файлы вручную.

Как отвечать на эти электронные письма

Если в почтовый ящик приходит электронное письмо с пометкой «Защищенный документ для проверки», то самый безопасный вариант действий прост:

• Не нажимайте ни на какие ссылки или кнопки, содержащиеся в сообщении.
• Не вводите учетные данные для входа на страницы, ссылки на которые вы получаете по электронной почте.
• Удалите электронное письмо и, если возможно, пометьте его как фишинговое или спам-сообщение.
• Если учетные данные уже были отправлены, немедленно смените пароль учетной записи.

Итоговая оценка

Электронное письмо «Защищенный документ для проверки» — это фишинговая афера, замаскированная под уведомление о предоставлении доступа к документу. В нем ложно утверждается, что конфиденциальный договор ожидает проверки, и получателей направляют на поддельную страницу входа, размещенную на esnad-fls(dot)com. Цель — украсть учетные данные электронной почты, которые затем могут быть использованы для захвата аккаунта, кражи личных данных и других киберпреступных действий. Получателям следует избегать взаимодействия с этим письмом, воздерживаться от перехода по ссылкам и немедленно удалить сообщение.