Ваша поруџбина је на путу путем преваре путем е-поште
Неочекиваним имејловима који се односе на куповину, испоруке или активност налога увек треба приступати са опрезом. Сајбер криминалци често прикривају злонамерне поруке као легитимну пословну комуникацију у покушају да изврше притисак на примаоце да делују без верификације. Кампања имејлова „Ваша поруџбина је на путу“ је један такав пример. Детаљна анализа је потврдила да су ови имејлови злонамерне спам поруке и да нису повезани ни са једном легитимном компанијом, добављачем услуга испоруке, продавцем или организацијом.
Преглед садржаја
Лажна обавештења о испоруци осмишљена да створе хитну ситуацију
Имејлови „Ваша поруџбина је на путу“ су написани тако да подсећају на аутентична обавештења о пошиљци. Обично стижу са насловима који садрже бројеве поруџбина и референтне кодове како би поруке изгледале веродостојно и професионално.
Примаоци се обавештавају да је њихов пакет наводно послат и подстичу се да кликну на дугме „Прикажи детаље о испоруци“ како би приступили информацијама о праћењу и ажурирањима испоруке. Формулација је намерно осмишљена да изазове радозналост и хитност, повећавајући вероватноћу да ће примаоци интераговати са достављеним линком без пажљивог прегледа поруке.
У стварности, имејлови се не односе ни на какву стварну куповину или пошиљку. Њихова једина сврха је да преусмере примаоце на злонамерни веб-сајт дизајниран да зарази системе малвером.
Злонамерни веб-сајт који стоји иза преваре
Клик на уграђени линк преусмерава кориснике на лажну страницу хостовану на increminder.com. Сајт је дизајниран да подсећа на портал за управљање поруџбинама или испоруку, што додатно појачава илузију легитимности.
На веб страници се тврди да су информације о пошиљци обрађене и да су детаљи поруџбине доступни за преузимање. Такође се упозорава да преузета датотека може бити потребна за пријем пакета, што је психолошка тактика која има за циљ да изврши притисак на посетиоце да наставе са преузимањем.
Уместо да пружи информације о праћењу или документацију о поруџбини, сајт испоручује злонамерну датотеку под називом „ScreenConnect.ClientSetup.msi“. Ова датотека се представља као обичан Windows инсталер, али заправо садржи тројанску верзију ScreenConnect-а.
Тројанизовани софтвер за даљински приступ представља озбиљан ризик
Сам ScreenConnect је легитиман софтвер за удаљену радну површину који је развио ConnectWise и који често користе ИТ стручњаци за даљинску помоћ и управљање системима. Међутим, сајбер криминалци често злоупотребљавају такве алате тако што их модификују и дистрибуирају верзије са оружјем које могу да омогуће неовлашћени даљински приступ уређајима жртава.
Када се злонамерни инсталатер покрене, алат за даљински приступ може тихо да ради у позадини, не привлачећи пажњу. Нападачи тада могу да стекну опсежну контролу над угроженим системом и да изврше широк спектар злонамерних активности, укључујући:
- Крађа поверљивих датотека и сачуваних акредитива
- Праћење активности корисника и прикупљање осетљивих информација
- Инсталирање додатног злонамерног софтвера као што је ransomware или spyware
- Обављање преварних трансакција или злоупотреба онлајн налога
Пошто злонамерни софтвер омогућава стални даљински приступ, погођени системи треба да се сматрају потпуно угроженим.
Како кампање са маловерном поштом испоручују злонамерни софтвер
Кампање са спамом често дистрибуирају злонамерни софтвер путем злонамерних прилога или путем линкова који воде до штетних веб локација. У многим случајевима, датотеке су прикривене као фактуре, признанице, отпремнице или изводи са рачуна како би се примаоци подстакли да их отворе без сумње.
У овој кампањи, нападачи се ослањају на злонамерни линк, а не на директан прилог. Примаоци који прате линк воде до лажног портала за поруџбине, где се манипулишу да преузму заражену датотеку за инсталацију. Једном покренут, злонамерни софтвер успоставља могућности даљинског приступа, док остаје углавном невидљив за жртву.
Ова метода омогућава нападачима да заобиђу неке безбедносне филтере е-поште, јер се штетни садржај хостује екстерно, а не директно се прикључује е-пошти.
Непосредни кораци за погођене кориснике
Свако ко је преузео или покренуо инсталатер „ScreenConnect.ClientSetup.msi“ требало би да претпостави да је већ дошло до неовлашћеног приступа систему. Препоручује се хитна акција како би се потенцијална штета свела на минимум.
Требало би без одлагања извршити потпуно скенирање вируса или анти-малвера, а све осетљиве лозинке повезане са погођеним уређајем требало би променити са посебног, безбедног система. Финансијски рачуни, имејл налози и пословни подаци за пријаву такође треба да се прате због сумњивих активности.
Злонамерни имејл треба одмах избрисати, а примаоци треба да избегавају кликтање на било које линкове или преузимање било којих датотека повезаних са поруком.
Заштита од превара везаних за испоруку
Кампање фишинга и злонамерног софтвера везане за испоруку остају веома ефикасне јер искоришћавају уобичајене навике куповине на мрежи и очекивање ажурирања пакета. Нападачи се ослањају на то да ће примаоци брзо реаговати пре него што пажљиво процене легитимност поруке.
Корисници могу смањити изложеност овим претњама тако што ће проверавати обавештења о пошиљкама директно преко званичних веб страница продаваца или курирских служби, избегавати преузимања из нежељених имејлова и третирати неочекивана упозорења о испоруци са скептицизмом. Чак и имејлови који делују углађено и професионално могу кријати озбиљне безбедносне претње испод убедљивог брендирања и хитног језика.
System Messages
The following system messages may be associated with Ваша поруџбина је на путу путем преваре путем е-поште:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
