Säkra dokument för granskning via e-postbedrägeri

Att vara försiktig med oväntade e-postmeddelanden är viktigt i dagens hotbild. Cyberbrottslingar döljer rutinmässigt nätfiskemeddelanden som legitim affärskommunikation för att lura mottagare att avslöja känslig information. E-postmeddelandet "Säkert dokument för granskning" är ett sådant exempel. Trots sitt professionella utseende är denna kampanj inte kopplad till något legitimt företag, organisation, dokumentdelningsplattform eller e-postleverantör. Dess enda syfte är att stjäla e-postkontouppgifter från intet ont anande användare.

Bakom bedrägeriet “Säkert dokument för granskning”

En djupgående analys av e-postmeddelandena med "Säkert dokument för granskning" har bekräftat att de är nätfiskemeddelanden utformade för att stjäla inloggningsuppgifter. E-postmeddelandena utger sig för att vara säkra dokumentdelningsmeddelanden och påstår att en konfidentiell kontraktsfil med titeln "Contract_Agreement_0035040_ACH_Payment.pdf" har förberetts för mottagarens granskning.

För att skapa en känsla av brådska anger meddelandet att dokumentlänken kommer att upphöra att gälla inom 72 timmar. Nedräkningen presenteras som en säkerhetsfunktion som uppmuntrar mottagarna att agera snabbt utan att noggrant utvärdera e-postmeddelandets äkthet.

En annan taktik som används i dessa meddelanden är att instruera mottagarna att flytta e-postmeddelandet till sin inkorg om det filtrerades som skräppost. Detta försök att verka trovärdigt syftar till att minska misstankar och öka sannolikheten för att offret kommer att interagera med innehållet.

Portalen för falska säkra dokument

E-postmeddelandet innehåller en knapp eller länk med etiketten "Öppna dokument säkert". Snarare än att leda till en legitim dokumentdelningstjänst leder länken användare till en bedräglig webbplats på esnad-fls(dot)com.

Webbplatsen utger sig falskeligen för att vara en säker e-postautentiseringsportal. I många fall visar den en falsk inloggningssida som imiterar Googles inloggningsgränssnitt och kan vara märkt som en "Gmail Secured Portal". Besökare uppmanas att ange sin e-postadress och sitt lösenord för att komma åt det påstådda dokumentet.

Forskare har observerat att nätfiskesidan dynamiskt kan justera sitt utseende beroende på mottagarens e-postleverantör. Gmail-användare kan se en inloggningssida med Google-tema, medan användare av andra e-posttjänster kan presenteras med gränssnitt som är utformade för att likna deras respektive leverantörer. Denna anpassning bidrar till att göra bedrägeriet mer övertygande.

Vad händer efter att inloggningsuppgifter har angetts?

All information som lämnas via det bedrägliga inloggningsformuläret överförs direkt till bedragarna. När angripare väl får tillgång till ett e-postkonto kan de utnyttja det på flera olika sätt:

• Få åtkomst till känsliga e-postmeddelanden och lagrad personlig information.

• Återställ lösenord för länkade konton och tjänster.

• Utge dig för att vara offret i ytterligare nätfiskekampanjer.

• Begå identitetsstöld och andra former av bedrägerier.

Det är viktigt att betona att Google inte har någon koppling till denna operation, och webbplatsen som används i bedrägeriet är inte ansluten till någon legitim e-posttjänst eller dokumentdelningsplattform.

Varningstecken som avslöjar bedrägeriet

Flera indikatorer avslöjar den bedrägliga karaktären hos dessa e-postmeddelanden. Meddelandet skapar onödig brådska genom ett meddelande om att dokumentet har löpt ut, begär åtgärder via en okänd extern länk och leder mottagarna till en inloggningssida som inte är relaterad till någon legitim tjänst. Kravet på att ange e-postadresser bara för att visa ett delat dokument är en annan stor varningssignal.

Användare bör alltid verifiera avsändaren, noggrant granska länkar innan de klickar och vara misstänksamma mot oönskade meddelanden om dokumentdelning, särskilt när de kräver omedelbara åtgärder.

Mer än stöld av autentiseringsuppgifter: Risken med skadlig programvara

Även om just den här kampanjen fokuserar på att stjäla inloggningsuppgifter, används liknande bluffmejl ofta för att distribuera skadlig programvara. Cyberbrottslingar levererar ofta skadlig programvara via skräppostmejl som innehåller infekterade bilagor eller länkar till skadliga webbplatser.

Vanliga skadliga filtyper inkluderar körbara program, komprimerade arkiv, PDF-filer och Microsoft Office-dokument. I vissa fall kan öppning av en fil utlösa exekvering av skadlig kod. I andra fall kan mottagarna uppmanas att aktivera makron eller ladda ner ytterligare innehåll som initierar infektionsprocessen.

Länkar inbäddade i nätfiskemejl kan också omdirigera användare till webbplatser som automatiskt laddar ner skadlig kod eller uppmuntrar dem att köra farliga filer manuellt.

Hur man svarar på dessa e-postmeddelanden

Om ett e-postmeddelande med texten "Säkert dokument för granskning" anländer till en inkorg är det säkraste tillvägagångssättet enkelt:

• Klicka inte på några länkar eller knappar som finns i meddelandet.
• Ange inte inloggningsuppgifter på någon sida som nås via e-post.
• Radera e-postmeddelandet och markera det som nätfiske eller spam om möjligt.
• Ändra lösenord för kontot omedelbart om inloggningsuppgifter redan har skickats in.

Slutbedömning

E-postmeddelandet "Säkert dokument för granskning" är ett nätfiskebedrägeri förklätt till en avisering om dokumentdelning. Det påstår falskeligen att ett konfidentiellt kontraktsdokument väntar på granskning och leder mottagarna till en förfalskad inloggningssida som finns på esnad-fls(dot)com. Målet är att stjäla e-postkontouppgifter, som sedan kan användas för kontoövertagande, identitetsstöld och annan cyberkriminell verksamhet. Mottagare bör undvika att interagera med e-postmeddelandet, avstå från att klicka på några länkar och omedelbart radera meddelandet.