E-postbedrägeri gällande förnyelse av domänägarskap krävs

Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet. Cyberbrottslingar utger sig ofta för att vara betrodda organisationer och tillsynsmyndigheter för att skapa en falsk känsla av brådska och pressa mottagarna att fatta förhastade beslut. E-postmeddelandena med "Revalidering av domänägarskap krävs" är ett utmärkt exempel på denna taktik. Säkerhetsforskare har identifierat dessa meddelanden som en del av en nätfiskekampanj utformad för att stjäla inloggningsuppgifter för e-postkonton. Viktigt är att dessa e-postmeddelanden inte är kopplade till något legitimt företag, organisation, domänregistrator eller tillsynsmyndighet.

Förklädd till ett officiellt meddelande om efterlevnad

De bedrägliga e-postmeddelandena är utformade för att likna officiella meddelanden om domänefterlevnad. Mottagarna informeras om att deras domänägande inte har förnyats under de senaste 90 dagarna och att åtgärder krävs för att fortsätta följa de påstådda bestämmelserna. Meddelandena hänvisar till "ICANN-förordning 3.18" och varnar för att om verifieringsprocessen inte slutförs kommer både inkommande och utgående e-posttjänster att stängas av inom sju dagar.

Språket som används i hela mejlet är avsett att skapa oro och brådska. Genom att hota med avbrott i tjänsten försöker bedragarna övertyga mottagarna att agera omedelbart utan att verifiera meddelandets äkthet.

Den falska förnyelseprocessen

I mitten av bedrägeriet finns en knapp som vanligtvis är märkt "Revalidate Domain Now". Genom att klicka på den här knappen omdirigeras användare till en bedräglig webbmail-inloggningssida som utger sig för att vara en legitim e-posttjänstportal.

Nätfiskesidan imiterar en inloggningsskärm för Roundcube Webmail och hanteras via Googles Firebase Storage-plattform. För att sidan ska se mer övertygande ut kan offrets e-postadress redan vara ifylld automatiskt. Användare instrueras sedan att ange sitt lösenord för att fortsätta med den förmodade verifieringsprocessen.

I verkligheten tjänar sidan bara ett syfte: att samla in inloggningsuppgifter och överföra dem direkt till angriparna.

Vad händer när legitimationsuppgifter blir stulna?

Kompromitterade e-postkonton kan ge cyberbrottslingar tillgång till en betydande mängd personlig och affärsrelaterad information. Eftersom e-postkonton ofta är kopplade till ett flertal onlinetjänster kan angripare utnyttja stulna inloggningsuppgifter för att ytterligare utöka sin åtkomst.

När man väl fått kontroll över ett e-postkonto kan brottslingar:

• Läs konfidentiella meddelanden och känslig kommunikation.
• Återställ lösenord för länkade onlinekonton.
• Utge sig för att vara offret i kommunikation med kollegor, kunder, vänner eller familjemedlemmar.

• Distribuera ytterligare nätfiskemejl från ett betrott konto.

• Samla in personlig information för identitetsstöld eller ekonomiskt bedrägeri.

Eftersom e-postkonton ofta fungerar som den primära återställningsmetoden för andra tjänster, kan en enda komprometterad postlåda leda till att flera kontoövertaganden görs.

Varför påståendena är falska

Flera indikatorer avslöjar den bedrägliga karaktären hos dessa e-postmeddelanden. Meddelandena försöker utnyttja Internet Corporation for Assigned Names and Numbers, allmänt känt som ICANN, genom att falskeligen antyda att domänomvalidering verkställs via direkta e-postmeddelanden.

I verkligheten kontaktar inte ICANN enskilda användare via oönskade meddelanden som kräver omvalidering av domänen. Dessutom kräver ingen legitim domänmyndighet eller ansedd tjänsteleverantör att användare verifierar inloggningsuppgifter via en länk inbäddad i ett oväntat e-postmeddelande.

Avsändarnamnet som ofta visas i dessa meddelanden, "Global Domain Validation Center", har ingen erkänd koppling till ICANN, ackrediterade registrarer eller någon legitim domänhanteringsorganisation. Hela scenariot är fabricerat för att skapa trovärdighet och lura mottagarna.

Det bredare hotet bortom stöld av autentiseringsuppgifter

Även om det primära målet med denna kampanj är att stjäla inloggningsuppgifter, används liknande bluffmejl ofta även för distribution av skadlig programvara. Hotaktörer använder ofta e-postbaserade attacker för att leverera skadlig programvara till potentiella offer.

E-postmeddelanden relaterade till skadlig kod kan innehålla infekterade bilagor eller länkar som leder till skadliga webbplatser. Vanliga filtyper som används i dessa attacker inkluderar körbara filer, PDF-dokument, arkiv som ZIP- eller RAR-filer, skript och Office-dokument som innehåller skadlig kod. I vissa fall uppmanas användare att aktivera makron eller andra funktioner som utlöser infektionsprocessen.

De flesta e-postrelaterade skadliga infektioner kräver en viss nivå av användarinteraktion, till exempel att öppna en bilaga, starta en nedladdad fil, klicka på en skadlig länk eller aktivera inbäddat innehåll. Det är därför försiktighet och verifiering är avgörande vid hantering av oväntade meddelanden.

Hur man svarar på dessa e-postmeddelanden

Mottagare som får e-postmeddelandet "Omvalidering av domänägarskap krävs" bör undvika att interagera med meddelandet på något sätt. Länkar ska inte klickas, bilagor ska inte öppnas och personlig information ska aldrig skickas via sidor som nås från oönskade e-postmeddelanden.

Det säkraste tillvägagångssättet är att omedelbart radera e-postmeddelandet. Personer som redan har angett sina inloggningsuppgifter på nätfiskesidan bör byta sitt lösenord för e-post utan dröjsmål, uppdatera lösenord för alla konton som kan dela samma inloggningsuppgifter och aktivera flerfaktorsautentisering där det är möjligt.

Slutliga tankar

E-postkampanjen "Domain Ownership Revalidation Required" är ett nätfiskebedrägeri som utger sig för att vara ett ICANN-relaterat efterlevnadsmeddelande. Syftet är att lura mottagare att lämna ut sina e-postkontouppgifter via en bedräglig webbmejlinloggningssida. Meddelandena bygger på rädsla, brådska och falska regulatoriska påståenden för att manipulera offren att agera utan ordentlig verifiering.

Att förstå hur dessa bedrägerier fungerar är avgörande för att skydda känslig information. Genom att förbli skeptisk till oväntade förfrågningar, verifiera påståenden via officiella kanaler och undvika länkar i oönskade e-postmeddelanden kan användare avsevärt minska risken för att bli offer för stöld av autentiseringsuppgifter och andra cyberhot.