Podvod s aktualizáciou stavu DHL Express Commerce e-mailom

Výskumníci v oblasti kybernetickej bezpečnosti analyzovali e-maily s aktualizáciou stavu DHL Express Commerce a zistili, že ide o phishingové správy určené na krádež prihlasovacích údajov používateľov. E-maily sa maskujú ako legitímne oznámenia od DHL Express Commerce a falošne informujú príjemcov, že s nimi boli zdieľané tri dokumenty.

Správy zvyčajne prichádzajú s predmetom „DHL Express Commerce“ a sú starostlivo navrhnuté tak, aby pripomínali oznámenia z platformy na zdieľanie dokumentov. Pre zvýšenie ich dôveryhodnosti e-maily zobrazujú riadok, ktorý vyzerá ako príloha s názvom „DHL Express Invoice Payment.docx“. Nejde však o skutočnú súborovú prílohu. Namiesto toho ide o klikateľný prvok vytvorený s cieľom oklamať príjemcov a prinútiť ich reagovať na e-mail.

Podľa obsahu správy systém zistil tri dokumenty, ktoré boli zdieľané s príjemcom a k nim je údajne možné okamžite získať prístup.

Pasca portálu s falošnými dokumentmi

Podvod sa spolieha na presvedčenie príjemcov, aby klikli buď na falošnú prílohu, alebo na tlačidlo „Zobraziť dokumenty“. Bez ohľadu na to, ktorá možnosť je vybratá, obe presmerujú používateľov na rovnakú podvodnú destináciu.

Odkazovaná stránka je hostovaná na platforme Firebase Storage od spoločnosti Google. Hoci Firebase je legitímna cloudová hostingová služba, kyberzločinci často zneužívajú renomované platformy na hosťovanie škodlivého obsahu, pretože takéto domény sa často zdajú byť dôveryhodné a môžu sa vyhnúť základným bezpečnostným filtrom.

Keď návštevníci prejdú na stránku, zobrazí sa im falošný prihlasovací formulár DHL Express, v ktorom sa požaduje e-mailová adresa a heslo. Napriek tomu, že stránka vyzerá akokoľvek, nemá žiadne prepojenie so spoločnosťou DHL. Všetky prihlasovacie údaje zadané do formulára sa prenášajú priamo podvodníkom, ktorí kampaň prevádzkujú.

Prečo sú ukradnuté poverenia také cenné

Prihlasovacie údaje patria medzi najvyhľadávanejšie aktíva kyberzločincov. Mnoho jednotlivcov používa rovnaké heslo na viacerých online účtoch, vďaka čomu je jedna kompromitovaná sada údajov veľmi cenná.

Keď útočníci získajú prihlasovacie údaje prostredníctvom phishingových kampaní, často tieto poverenia testujú v rôznych službách vrátane e-mailových platforiem, nákupných stránok, cloudových úložísk a sociálnych sietí. Úspešné kompromitácie účtov môžu viesť k neoprávneným nákupom, krádeži identity, prevzatiu kontroly nad účtami, finančným stratám a strate prístupu k dôležitým online službám.

Z tohto dôvodu by príjemcovia nikdy nemali zadávať prihlasovacie údaje na webových stránkach, na ktoré sa dostanú prostredníctvom nevyžiadaných e-mailov, bez toho, aby si najprv overili legitímnosť správy a cieľa.

Varovné signály, ktoré odhaľujú podvod

Niekoľko indikátorov odhaľuje podvodnú povahu týchto e-mailov:

• V správe sa tvrdí, že dokumenty boli zdieľané neočakávane a nabáda sa k okamžitej interakcii.
• Zobrazený súbor „DHL Express Invoice Payment.docx“ je iba klikateľná návnada, nie skutočná príloha.
• Oba klikateľné prvky vedú na rovnakú prihlasovaciu stránku namiesto legitímnej služby na zdieľanie dokumentov.
• Webová stránka požaduje e-mailové prihlasovacie údaje napriek tomu, že nemá žiadne legitímne prepojenie so spoločnosťou DHL.
• Komunikácia sa snaží využiť reputáciu dôveryhodnej značky na získanie dôvery príjemcu.

Potenciálne prepojenie so škodlivým softvérom

Phishingové kampane sa neobmedzujú len na krádež prihlasovacích údajov. V niektorých prípadoch sa podobné spamové e-maily používajú aj na distribúciu škodlivého softvéru.

Kyberzločinci bežne maskujú škodlivé súbory ako faktúry, oznámenia o dodaní, potvrdenia o platbe, zmluvy alebo iné bežné obchodné dokumenty. Tieto škodlivé súbory môžu byť doručené ako spustiteľné programy, komprimované archívy, dokumenty PDF, skripty alebo súbory balíka Microsoft Office obsahujúce vložený škodlivý kód.

Infekcie často vyžadujú určitú formu interakcie používateľa predtým, ako sa aktivuje malvér. Otvorenie škodlivej prílohy, povolenie makier, spustenie stiahnutého súboru alebo kliknutie na klamlivý odkaz môže spustiť proces kompromitácie. Opatrnosť pri manipulácii s nevyžiadanými e-mailami výrazne znižuje pravdepodobnosť infekcie.

Ako reagovať, ak dostanete e-mail

Ak sa tento e-mail zobrazí v doručenej pošte, najbezpečnejším prístupom je vyhnúť sa interakcii s akýmikoľvek odkazmi, tlačidlami alebo prílohami, ktoré obsahuje. Správa by mala byť okamžite vymazaná. Jednotlivci, ktorí už odoslali svoje prihlasovacie údaje prostredníctvom falošnej prihlasovacej stránky, by mali bezodkladne zmeniť dotknuté heslá a aktualizovať všetky ostatné účty, ktoré používajú rovnaké prihlasovacie údaje. Povolenie viacfaktorového overovania, kedykoľvek je to možné, môže poskytnúť ďalšiu vrstvu ochrany pred neoprávneným prístupom.

Záverečné hodnotenie

E-mail s aktualizáciou stavu DHL Express Commerce je phishingový podvod, ktorého cieľom je získať prihlasovacie údaje vydávaním sa za DHL Express Commerce. Falošná príloha a tlačidlo „Zobraziť dokumenty“ presmerujú používateľov na tú istú podvodnú prihlasovaciu stránku hostovanú prostredníctvom zneužívanej cloudovej služby. Keďže kampaň nie je prepojená so spoločnosťou DHL ani so žiadnou legitímnou organizáciou, príjemcovia by mali tieto správy považovať za škodlivé, vyhýbať sa akejkoľvek interakcii s ich obsahom a okamžite ich odstrániť zo svojich schránok.