Превара са копијом потврде SWIFT-а путем имејла

Остајање опрезним приликом рада са неочекиваним имејловима је неопходно у данашњем окружењу претњи. Сајбер криминалци често прикривају злонамерне поруке као важне пословне комуникације како би створили лажни осећај хитности и поверења. Један пример је превара имејлом „SWIFT Confirmation Copy“, фишинг кампања осмишљена да украде акредитиве имејл налога. Ови имејлови нису повезани ни са једном легитимном банком, компанијом, организацијом, финансијском институцијом или добављачем услуга имејла, упркос томе што изглед сугерише супротно.

Објашњење преваре са копијом SWIFT потврде

Превара са копијом потврде SWIFT-а је фишинг операција која покушава да превари примаоце да поверују да су примили потврду о банковном трансферу која захтева преглед. Имејл обично стиже са алармантном и неповезаном темом која се тиче затварања поштанског сандучета, стварајући хитну ситуацију и подстичући примаоце да отворе поруку.

Унутар имејла, прималац је обавештен да је менаџер набавке наводно приложио копију SWIFT потврде за извршено плаћање банковним трансфером. У поруци се тврди да је PDF датотека под називом „Wire Payment Slip“ доступна за преглед и позива се прималац да јој приступи преко дугмади „Преузми PDF“ или „Погледај PDF“.

Међутим, није приложена легитимна потврда о плаћању. Читава порука је пажљиво осмишљен мамац који има за циљ да усмери жртве на веб локацију за прикупљање акредитива.

Иза дугмади за преузимање: Замка за крађу акредитива

Линкови уграђени у имејл не отварају документ о плаћању. Уместо тога, преусмеравају кориснике на лажну веб страницу дизајнирану за крађу података за пријаву.

Након посете сајту, корисницима се приказује захтев за пријаву под насловом „Вођење безбедношћу“. Страница лажно тврди да је потребна аутентификација пре прегледа заштићеног документа. Жртве се затим тражи да унесу своју адресу е-поште и лозинку.

Веб локација је пројектована тако да детектује добављача имејл адресе примаоца и прикаже убедљиву имитацију одговарајуће странице за пријаву. Без обзира да ли корисник користи Gmail, Yahoo Mail, Outlook или неку другу услугу имејла, преварна страница прилагођава свој изглед како би подсећала на интерфејс за пријаву легитимног добављача. Ова тактика повећава вероватноћу да ће жртве веровати страници и послати своје акредитиве.

Како превара ствара лажни осећај легитимности

Један посебно обмањујући аспект ове кампање је коришћење персонализованих информација унутар злонамерне URL адресе. Веб адреса може да садржи параметре који изгледају као да укључују адресу е-поште примаоца. Ове информације се могу користити за аутоматско попуњавање поља за пријаву, чинећи страницу аутентичнијом и прилагођенијом кориснику.

У комбинацији са познатим брендирањем и реалистичним екранима за пријаву, ова персонализација може учинити да фишинг страница на први поглед изгледа легитимно. Ипак, приказане странице су фалсификоване, без обзира на то колико подсећају на оригиналне портале за пријаву.

Потпис менаџера набавке, контакт подаци и сва имена укључена у поруку су измишљени елементи чија је искључива намена повећање кредибилитета. Не треба им веровати нити их контактирати.

Ризици уношења акредитива

Слање података за пријаву на преварној страници може имати озбиљне последице. Када нападачи добију приступ имејл налогу, могу покушати да:

Ресетујте лозинке за банкарство, куповину, друштвене мреже и друге онлајн услуге повезане са угроженом имејл адресом.
Вршити крађу идентитета, приступати осетљивим комуникацијама, дистрибуирати даље фишинг поруке или вршити финансијске преваре користећи налоге жртве.

Пошто налози е-поште често служе као централно место за опоравак лозинке и верификацију налога, једно угрожено поштанско сандуче може довести до преузимања више налога у кратком року.

Потенцијалне претње од злонамерног софтвера

Иако је примарни циљ преваре са копијом SWIFT потврде крађа акредитива, сличне фишинг кампање се често користе за дистрибуцију злонамерног софтвера.

Сајбер криминалци обично прилажу злонамерне датотеке маскиране као легитимни документи. Ове датотеке могу бити извршни програми, Office документи, PDF-ови, компресоване архиве или скриптне датотеке. У неким случајевима, отварање датотеке или омогућавање функција као што су макрои покреће инсталацију злонамерног софтвера.

Друге фишинг е-поруке се ослањају на злонамерне линкове, а не на прилоге. Клик на ове линкове може покренути аутоматска преузимања или усмерити жртве на странице које их подстичу да преузму и покрену штетни софтвер. У већини ситуација, инфекције злонамерним софтвером захтевају неки облик интеракције корисника пре активације.

Упозоравајући знаци на које треба обратити пажњу

Неколико индикатора може помоћи у идентификацији ове преваре:

• Наслов имејла се не подудара са садржајем поруке.
• Неочекивана обавештења у вези са банковним трансферима или плаћањима која никада нису била очекивана.
• Притисак да се документи одмах прегледају.
• Захтева унос имејл акредитива за приступ наводном прилогу.

Заштита од покушаја фишинга

Ако се прими имејл са копијом SWIFT потврде, треба га игнорисати и избрисати. Примаоци треба да избегавају кликтање на било које линкове, преузимање датотека или уношење акредитива на веб локацијама до којих се дође путем поруке. Ако су акредитиви већ послати, лозинку треба одмах променити и омогућити двофакторску аутентификацију кад год је то могуће.

Завршне мисли

Превара имејлом са копијом потврде SWIFT-а је фишинг кампања маскирана као обавештење о потврди банковног трансфера. Коришћењем лажних докумената везаних за плаћање и фалсификованих страница за пријаву које имитирају популарне добављаче имејла, нападачи покушавају да украду вредне акредитиве налога. Превара нема везе ни са једном легитимном финансијском институцијом, добављачем имејла или пословним субјектом. Опрез са неочекиваним имејловима, независна провера захтева и избегавање сумњивих линкова остају неки од најефикаснијих начина за спречавање компромитовања налога, финансијских губитака и крађе идентитета.