Потребна је поновна валидација власништва над доменом - превара путем е-поште

Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом. Сајбер криминалци се често представљају као поуздане организације и регулаторна тела како би створили лажни осећај хитности и извршили притисак на примаоце да доносе исхитрене одлуке. Имејлови „Потребна је поновна валидација власништва над доменом“ су одличан пример ове тактике. Истраживачи безбедности су идентификовали ове поруке као део фишинг кампање осмишљене да украде акредитиве имејл налога. Важно је напоменути да ови имејлови нису повезани ни са једном легитимном компанијом, организацијом, регистратором домена или регулаторним телом.

Прикривено као званично обавештење о усаглашености

Преварне имејлове су направљене тако да подсећају на званична обавештења о усклађености домена. Примаоци се обавештавају да њихово власништво над доменом није обновљено у последњих 90 дана и да је потребно предузети мере како би остали у складу са наводним прописима. Поруке се позивају на „ICANN пропис 3.18“ и упозоравају да ће, уколико се процес верификације не заврши, доћи до суспензије и долазних и одлазних имејл услуга у року од седам дана.

Језик који се користи у целој имејл поруци има за циљ да створи забринутост и хитност. Претећи прекидима услуге, преваранти покушавају да убеде примаоце да одмах реагују без провере аутентичности поруке.

Процес лажне ревалидације

У средишту преваре је дугме које је обично означено са „Поново потврди домен“. Клик на ово дугме преусмерава кориснике на лажну страницу за пријаву на веб пошту која се маскира као легитимни портал е-поште.

Фишинг страница имитира екран за пријаву на Roundcube Webmail и хостована је преко Google-ове Firebase Storage платформе. Да би страница деловала убедљивије, адреса е-поште жртве може већ бити аутоматски попуњена. Корисницима се затим налаже да унесу лозинку како би наставили са наводним процесом верификације.

У стварности, страница служи само једној сврси: прикупљању података за пријаву и њиховом директном преносу нападачима.

Шта се дешава када се украду акредитиви?

Угрожени имејл налози могу сајбер криминалцима пружити приступ значајној количини личних и пословних информација. Пошто су имејл налози често повезани са бројним онлајн сервисима, нападачи могу искористити украдене акредитиве како би додатно проширили свој приступ.

Када се добије контрола над имејл налогом, криминалци могу:

• Читајте поверљиве поруке и осетљиве комуникације.
• Ресетујте лозинке за повезане онлајн налоге.

Пошто налози е-поште често служе као примарни метод опоравка за друге сервисе, једно угрожено поштанско сандуче може довести до преузимања више налога.

Зашто су тврдње лажне

Неколико индикатора открива преварну природу ових имејлова. Поруке покушавају да искористе ауторитет Интернет корпорације за додељена имена и бројеве, познатије као ICANN, лажно сугеришући да се поновна валидација домена спроводи путем директних обавештења имејлом.

У стварности, ICANN не контактира појединачне кориснике путем непожељних порука у којима се захтева поновна валидација домена. Штавише, ниједан легитимни орган за домене или реномирани добављач услуга не захтева од корисника да верификују податке за пријаву путем линка уграђеног у неочекивану е-пошту.

Име пошиљаоца које се често приказује у овим порукама, „Global Domain Validation Center“, нема препознату везу са ICANN-ом, акредитованим регистраторима или било којом легитимном организацијом за управљање доменима. Читав сценарио је измишљен како би се створио кредибилитет и обманули примаоци.

Шира претња изван крађе акредитива

Иако је примарни циљ ове кампање крађа акредитива, сличне преварне имејлове често се користе и за дистрибуцију злонамерног софтвера. Претње обично користе нападе засноване на имејлу како би потенцијалним жртвама испоручили злонамерни софтвер.

Имејлови повезани са злонамерним софтвером могу да садрже заражене прилоге или линкове који воде до злонамерних веб локација. Уобичајени типови датотека који се користе у овим нападима укључују извршне датотеке, PDF документе, архиве као што су ZIP или RAR датотеке, скрипте и Office документе који садрже штетни код. У неким случајевима, од корисника се тражи да омогуће макрое или друге функције које покрећу процес инфекције.

Већина инфекција злонамерним софтвером које се преносе имејлом захтева одређени ниво интеракције корисника, као што је отварање прилога, покретање преузете датотеке, клик на злонамерни линк или омогућавање уграђеног садржаја. Зато су опрез и верификација и даље кључни при раду са неочекиваним порукама.

Како одговорити на ове имејлове

Примаоци који приме имејл са поруком „Потребна је поновна валидација власништва над доменом“ требало би да избегавају било какву интеракцију са поруком. Не треба кликтати на линкове, не треба отварати прилоге и никада не треба слати личне податке преко страница до којих се долази из непожељних имејлова.

Најбезбеднији начин деловања је да се имејл одмах обрише. Појединци који су већ унели своје акредитиве на фишинг страницу требало би да без одлагања промене лозинку за имејл, ажурирају лозинке за све налоге који могу да деле исте акредитиве и омогуће вишефакторску аутентификацију где год је то могуће.

Завршне мисли

Кампања е-поште „Потребна је поновна валидација власништва над доменом“ је фишинг превара маскирана као обавештење о усклађености у вези са ICANN-ом. Њена сврха је да превари примаоце да предају своје акредитиве за е-пошту путем лажне странице за пријаву на веб пошту. Поруке се ослањају на страх, хитност и лажне регулаторне тврдње како би манипулисале жртвама да делују без одговарајуће верификације.

Разумевање начина функционисања ових превара је неопходно за заштиту осетљивих информација. Остајући скептични према неочекиваним захтевима, проверавајући тврдње путем званичних канала и избегавајући линкове садржане у непожељним имејловима, корисници могу значајно смањити ризик да постану жртве крађе акредитива и других сајбер претњи.