Vaša objednávka je na ceste – podvod s e-mailom
K neočakávaným e-mailom týkajúcim sa nákupov, doručení alebo aktivity na účte by sa malo vždy pristupovať opatrne. Kyberzločinci často maskujú škodlivé správy ako legitímnu obchodnú komunikáciu v snahe prinútiť príjemcov konať bez overenia. E-mailová kampaň „Vaša objednávka je na ceste“ je jedným z takýchto príkladov. Podrobná analýza potvrdila, že tieto e-maily sú škodlivé spamové správy a nie sú prepojené so žiadnymi legitímnymi spoločnosťami, prepravnými spoločnosťami, maloobchodníkmi ani organizáciami.
Obsah
Falošné oznámenia o preprave určené na vytvorenie naliehavosti
E-maily s textom „Vaša objednávka je na ceste“ sú napísané tak, aby pripomínali autentické oznámenia o odoslaní. Zvyčajne prichádzajú s predmetom obsahujúcim čísla objednávok a referenčné kódy, aby správy pôsobili dôveryhodne a profesionálne.
Príjemcovia sú informovaní o tom, že ich balík bol údajne odoslaný, a sú vyzvaní, aby klikli na tlačidlo „Zobraziť podrobnosti o doručení“, čím získajú prístup k informáciám o sledovaní a aktualizáciám doručenia. Znenie je zámerne navrhnuté tak, aby vzbudilo zvedavosť a naliehavosť, čím sa zvyšuje pravdepodobnosť, že príjemcovia budú interagovať s poskytnutým odkazom bez toho, aby si správu dôkladne preštudovali.
V skutočnosti sa e-maily netýkajú žiadneho skutočného nákupu ani zásielky. Ich jediným účelom je presmerovať príjemcov na škodlivú webovú stránku určenú na infikovanie systémov škodlivým softvérom.
Škodlivá webová stránka, ktorá stojí za podvodom
Kliknutie na vložený odkaz presmeruje používateľov na podvodnú stránku hostovanú na increminder.com. Stránka je navrhnutá tak, aby pripomínala portál na správu objednávok alebo prepravu, čo ešte viac posilňuje ilúziu legitímnosti.
Webová stránka tvrdí, že informácie o zásielke boli spracované a že podrobnosti o objednávke sú k dispozícii na stiahnutie. Taktiež varuje, že stiahnutý súbor môže byť potrebný na doručenie balíka, čo je psychologická taktika, ktorej cieľom je prinútiť návštevníkov pokračovať v sťahovaní.
Namiesto poskytnutia informácií o sledovaní alebo dokumentácie objednávky stránka zobrazuje škodlivý súbor s názvom „ScreenConnect.ClientSetup.msi“. Tento súbor sa prezentuje ako bežný inštalátor systému Windows, ale v skutočnosti obsahuje trójsky koňom napadnutú verziu ScreenConnect.
Softvér na vzdialený prístup s trojanským koňom predstavuje vážne riziko
Samotný ScreenConnect je legitímny softvér pre vzdialenú pracovnú plochu vyvinutý spoločnosťou ConnectWise a bežne používaný odborníkmi IT podpory na vzdialenú pomoc a správu systému. Kyberzločinci však takéto nástroje často zneužívajú ich úpravou a distribúciou zbraňových verzií schopných poskytnúť neoprávnený vzdialený prístup k zariadeniam obetí.
Po spustení škodlivého inštalátora môže nástroj na vzdialený prístup ticho pracovať na pozadí bez toho, aby pútal pozornosť. Útočníci potom môžu získať rozsiahlu kontrolu nad napadnutým systémom a vykonávať širokú škálu škodlivých aktivít vrátane:
- Krádež dôverných súborov a uložených prihlasovacích údajov
- Monitorovanie aktivity používateľov a zhromažďovanie citlivých informácií
- Inštalácia ďalšieho škodlivého softvéru, ako je ransomvér alebo spyware
- Vykonávanie podvodných transakcií alebo zneužívanie online účtov
Keďže malvér poskytuje trvalý vzdialený prístup, postihnuté systémy by sa mali považovať za úplne napadnuté.
Ako kampane Malspam šíria malvér
Spamové kampane často šíria malvér buď prostredníctvom škodlivých príloh, alebo prostredníctvom odkazov vedúcich na škodlivé webové stránky. V mnohých prípadoch sú súbory maskované ako faktúry, potvrdenky, prepravné doklady alebo výpisy z účtu, aby povzbudili príjemcov k ich otvoreniu bez podozrenia.
V tejto kampani sa útočníci spoliehajú na škodlivý odkaz, a nie na priamu prílohu. Príjemcovia, ktorí kliknú na odkaz, sú presmerovaní na falošný objednávkový portál, kde sú manipulovaní k stiahnutiu infikovaného inštalačného súboru. Po spustení si malvér vytvorí možnosti vzdialeného prístupu, pričom pre obeť zostáva do značnej miery neviditeľný.
Táto metóda umožňuje útočníkom obísť niektoré bezpečnostné filtre e-mailov, pretože škodlivé dáta sú hostované externe a nie sú priamo pripojené k e-mailu.
Okamžité kroky pre dotknutých používateľov
Každý, kto si stiahol alebo spustil inštalačný súbor „ScreenConnect.ClientSetup.msi“, by mal predpokladať, že k systému už mohlo dôjsť k neoprávnenému prístupu. Dôrazne sa odporúča okamžitý zásah, aby sa minimalizovalo možné poškodenie.
Bezodkladne by sa mala vykonať kompletná antivírusová alebo antivírusová kontrola a všetky citlivé heslá spojené s postihnutým zariadením by sa mali zmeniť zo samostatného, zabezpečeného systému. Finančné účty, e-mailové účty a firemné prihlasovacie údaje by sa mali tiež monitorovať kvôli podozrivej aktivite.
Samotný škodlivý e-mail by mal byť okamžite vymazaný a príjemcovia by sa mali vyhýbať klikaniu na žiadne odkazy ani sťahovaniu akýchkoľvek súborov súvisiacich so správou.
Ochrana pred podvodmi súvisiacimi s doručovaním
Phishingové a malvérové kampane zamerané na doručovanie zostávajú vysoko účinné, pretože zneužívajú bežné online nakupovacie návyky a očakávania aktualizácií balíkov. Útočníci sa spoliehajú na to, že príjemcovia zareagujú rýchlo a potom dôkladne vyhodnotia legitimitu správy.
Používatelia môžu znížiť vystavenie sa týmto hrozbám overovaním oznámení o zásielkach priamo prostredníctvom oficiálnych webových stránok predajcov alebo kuriérov, vyhýbaním sa sťahovaniu z nevyžiadaných e-mailov a skeptickým prístupom k neočakávaným upozorneniam na doručenie. Dokonca aj e-maily, ktoré vyzerajú uhladene a profesionálne, môžu pod presvedčivým brandingom a naliehavým jazykom skrývať vážne bezpečnostné hrozby.
System Messages
The following system messages may be associated with Vaša objednávka je na ceste – podvod s e-mailom:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
