Превара путем имејла са ажурирањем статуса DHL Express Commerce-а

Истраживачи сајбер безбедности анализирали су имејлове са ажурирањем статуса DHL Express Commerce-а и утврдили да су у питању фишинг поруке осмишљене да украду корисничке податке за пријаву. Имејлови се маскирају као легитимна обавештења од DHL Express Commerce-а и лажно обавештавају примаоце да су са њима подељена три документа.

Поруке обично стижу са темом „DHL Express Commerce“ и пажљиво су написане да подсећају на обавештења са платформе за дељење докумената. Да би се повећао њихов кредибилитет, имејлови приказују ред који изгледа као прилог под називом „DHL Express Invoice Payment.docx“. Међутим, ово није стварни прилог датотеке. Уместо тога, то је елемент на који се може кликнути, креиран да превари примаоце и наведе их да интерагују са имејлом.

Према садржају поруке, систем је открио три документа која су подељена са примаоцем и којима се наводно може одмах приступити.

Замка портала са лажним документима

Превара се заснива на убеђивању прималаца да кликну или на фалсификовани прилог или на дугме „Погледај документе“. Без обзира на то која је опција изабрана, обе усмеравају кориснике на исто преварно одредиште.

Повезана страница је хостована на Google-овој Firebase Storage платформи. Иако је Firebase легитимна услуга хостинга у облаку, сајбер криминалци често злоупотребљавају реномиране платформе за хостовање злонамерног садржаја јер такви домени често делују поуздано и могу избећи основне безбедносне филтере.

Када посетиоци стигну на страницу, приказује им се лажни образац за пријаву на DHL Express у којем се захтева адреса е-поште и лозинка. Упркос свом изгледу, страница нема никакве везе са DHL-ом. Сви акредитиви унети у образац се директно преносе преварантима који воде кампању.

Зашто су украдене акредитиве толико вредне

Податци за пријаву су међу најтраженијим ресурсима за сајбер криминалце. Многи појединци поново користе исту лозинку на више онлајн налога, што један компромитовани скуп података чини веома вредним.

Када нападачи добију податке за пријаву путем фишинг кампања, често тестирају те акредитиве на различитим сервисима, укључујући платформе за е-пошту, сајтове за куповину, налоге за складиштење у облаку и мреже друштвених медија. Успешно компромитовање налога може довести до неовлашћених куповина, крађе идентитета, преузимања налога, финансијских губитака и губитка приступа важним онлајн услугама.

Из тог разлога, примаоци никада не би требало да уносе акредитиве на веб локацијама до којих се дође путем непожељних имејлова, а да претходно не провере легитимност поруке и одредишта.

Упозоравајући знаци који откривају превару

Неколико индикатора открива лажну природу ових имејлова:

• У поруци се тврди да су документи неочекивано дељени и подстиче се тренутна интеракција.
• Приказани „DHL Express Invoice Payment.docx“ је само мамац на који се може кликнути, а не прави прилог.
• Оба елемента на која се може кликнути воде до исте странице за пријаву уместо до легитимне услуге за дељење докумената.
• Веб локација захтева податке о е-пошти иако нема легитимну везу са DHL-ом.
• Комуникација покушава да искористи репутацију поузданог бренда како би стекла поверење примаоца.

Потенцијална веза са злонамерним софтвером

Фишинг кампање нису увек ограничене само на крађу акредитива. У неким случајевима, сличне спам е-поруке се такође користе за дистрибуцију злонамерног софтвера.

Сајбер криминалци обично маскирају злонамерне датотеке као фактуре, обавештења о испоруци, потврде о плаћању, уговоре или друге рутинске пословне документе. Ове штетне датотеке могу бити испоручене као извршни програми, компресоване архиве, PDF документи, скрипте или Microsoft Office датотеке које садрже уграђени злонамерни код.

Инфекције често захтевају неки облик интеракције корисника пре него што се активира злонамерни софтвер. Отварање злонамерног прилога, омогућавање макроа, извршавање преузете датотеке или клик на обмањујући линк може покренути процес компромитовања. Опрез при руковању нежељеним имејловима значајно смањује вероватноћу инфекције.

Како одговорити ако примите имејл

Ако се ова имејл појављује у пријемном сандучету, најбезбеднији приступ је избегавање интеракције са било којим линковима, дугмадима или прилозима који се у њој налазе. Поруку треба одмах обрисати. Појединци који су већ послали своје акредитиве преко лажне странице за пријаву треба да без одлагања промене дотичне лозинке и ажурирају све друге налоге који користе исте акредитиве. Омогућавање вишефакторске аутентификације где год је то могуће може пружити додатни слој заштите од неовлашћеног приступа.

Завршна процена

Е-порука са ажурирањем статуса DHL Express Commerce-а је фишинг превара осмишљена за прикупљање података за пријаву лажним представљањем као DHL Express Commerce. Лажни прилог и дугме „Погледај документе“ преусмеравају кориснике на исту лажну страницу за пријаву која се налази преко злоупотребљене услуге у облаку. Пошто кампања нема никакву везу са DHL-ом или било којом легитимном организацијом, примаоци би требало да третирају ове поруке као злонамерне, избегавају сваку интеракцију са њиховим садржајем и одмах их уклоне из својих пријемних сандучета.