Vaše naročilo je na poti - prevara z e-pošto
Nepričakovana e-poštna sporočila v zvezi z nakupi, dostavo ali aktivnostjo računa je treba vedno obravnavati previdno. Kibernetski kriminalci pogosto prikrivajo zlonamerna sporočila kot legitimna poslovna sporočila, da bi prejemnike prisilili k ukrepanju brez preverjanja. E-poštna kampanja »Vaše naročilo je na poti« je en tak primer. Podrobna analiza je potrdila, da so ta e-poštna sporočila zlonamerna neželena sporočila in niso povezana z nobenim legitimnim podjetjem, ponudnikom dostave, trgovcem na drobno ali organizacijo.
Kazalo
Lažna obvestila o pošiljanju, zasnovana za ustvarjanje nujnosti
E-poštna sporočila »Vaše naročilo je na poti« so oblikovana tako, da spominjajo na pristna obvestila o pošiljki. Običajno prispejo z zadevo, ki vsebuje številke naročil in referenčne kode, da sporočila delujejo verodostojno in profesionalno.
Prejemniki so obveščeni, da je bil njihov paket domnevno odposlan, in so pozvani, da kliknejo gumb »Ogled podrobnosti o pošiljki«, da dostopajo do informacij o sledenju in posodobitev dostave. Besedilo je namerno zasnovano tako, da vzbudi radovednost in nujnost, kar poveča verjetnost, da bodo prejemniki uporabili posredovano povezavo, ne da bi natančno pregledali sporočilo.
V resnici se e-poštna sporočila ne nanašajo na noben pristen nakup ali pošiljko. Njihov edini namen je preusmeriti prejemnike na zlonamerno spletno mesto, namenjeno okužbi sistemov z zlonamerno programsko opremo.
Zlonamerno spletno mesto, ki stoji za prevaro
S klikom na vdelano povezavo se uporabniki preusmerijo na goljufivo stran, ki gostuje na increminder.com. Spletno mesto je oblikovano tako, da spominja na portal za upravljanje naročil ali pošiljanje, kar še dodatno krepi iluzijo legitimnosti.
Spletna stran trdi, da so bili podatki o pošiljki obdelani, in navaja, da so podrobnosti naročila na voljo za prenos. Prav tako opozarja, da bo prenesena datoteka morda potrebna za prejem paketa, kar je psihološka taktika, namenjena pritisku obiskovalcev, da nadaljujejo s prenosom.
Namesto da bi spletno mesto zagotovilo podatke za sledenje ali dokumentacijo naročila, mu dostavi zlonamerno datoteko z imenom »ScreenConnect.ClientSetup.msi«. Ta datoteka je predstavljena kot običajni namestitveni program za Windows, vendar dejansko vsebuje trojansko različico ScreenConnecta.
Trojanska programska oprema za oddaljeni dostop predstavlja resno tveganje
ScreenConnect je legitimna programska oprema za oddaljeno namizje, ki jo je razvil ConnectWise in jo pogosto uporabljajo strokovnjaki za IT-podporo za oddaljeno pomoč in upravljanje sistema. Vendar pa kibernetski kriminalci pogosto zlorabljajo takšna orodja tako, da jih spreminjajo in distribuirajo oborožene različice, ki lahko omogočijo nepooblaščen oddaljeni dostop do naprav žrtev.
Ko se zlonamerni namestitveni program zažene, lahko orodje za oddaljeni dostop tiho deluje v ozadju, ne da bi pritegnilo pozornost. Napadalci lahko nato pridobijo obsežen nadzor nad ogroženim sistemom in izvedejo široko paleto zlonamernih dejavnosti, vključno z:
- Kraja zaupnih datotek in shranjenih poverilnic
- Spremljanje uporabniške dejavnosti in zbiranje občutljivih podatkov
- Namestitev dodatne zlonamerne programske opreme, kot je izsiljevalska programska oprema ali vohunska programska oprema
- Izvajanje goljufivih transakcij ali zloraba spletnih računov
Ker zlonamerna programska oprema omogoča stalen oddaljeni dostop, je treba prizadete sisteme šteti za popolnoma ogrožene.
Kako kampanje Malspam dostavljajo zlonamerno programsko opremo
Z neželeno programsko opremo se zlonamerna programska oprema pogosto širi prek zlonamernih prilog ali povezav, ki vodijo do škodljivih spletnih mest. V mnogih primerih so datoteke prikrite kot računi, potrdila, dobavni dokumenti ali izpiski računov, da bi prejemnike spodbudili k odpiranju brez suma.
V tej kampanji se napadalci zanašajo na zlonamerno povezavo in ne na neposredno prilogo. Prejemniki, ki sledijo povezavi, so usmerjeni na lažni portal za naročila, kjer jih zmanipulirajo, da prenesejo okuženo namestitveno datoteko. Ko se zlonamerna programska oprema zažene, vzpostavi zmožnosti oddaljenega dostopa, medtem ko žrtvi ostane večinoma nevidna.
Ta metoda napadalcem omogoča, da obidejo nekatere varnostne filtre e-pošte, saj je škodljiva vsebina gostovana zunaj in ni neposredno priložena e-pošti.
Takojšnji ukrepi za prizadete uporabnike
Vsakdo, ki je prenesel ali zagnal namestitveni program »ScreenConnect.ClientSetup.msi«, mora domnevati, da je morda že prišlo do nepooblaščenega dostopa do sistema. Za zmanjšanje morebitne škode močno priporočamo takojšnje ukrepanje.
Nemudoma je treba izvesti popolno protivirusno ali protizlonamerno skeniranje, vsa občutljiva gesla, povezana s prizadeto napravo, pa je treba spremeniti iz ločenega, varnega sistema. Prav tako je treba spremljati finančne račune, e-poštne račune in poslovne prijave glede sumljivih dejavnosti.
Zlonamerno e-pošto je treba takoj izbrisati, prejemniki pa naj se izogibajo klikanju povezav ali prenosu datotek, povezanih s sporočilom.
Zaščita pred prevarami, povezanimi z dostavo
Lažno predstavljanje in kampanje zlonamerne programske opreme, povezane z dostavo, ostajajo zelo učinkovite, saj izkoriščajo običajne spletne nakupovalne navade in pričakovanje posodobitev paketov. Napadalci se zanašajo na to, da se bodo prejemniki hitro odzvali, preden bodo skrbno ocenili legitimnost sporočila.
Uporabniki lahko zmanjšajo izpostavljenost tem grožnjam tako, da obvestila o pošiljkah preverijo neposredno prek uradnih spletnih mest prodajalcev ali kurirjev, se izognejo prenosom iz neželenih e-poštnih sporočil in do nepričakovanih opozoril o dostavi pristopijo s skepticizmom. Tudi e-poštna sporočila, ki se zdijo dodelana in profesionalna, lahko pod prepričljivo blagovno znamko in nujnim jezikom skrivajo resne varnostne grožnje.
System Messages
The following system messages may be associated with Vaše naročilo je na poti - prevara z e-pošto:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
