อีเมลหลอกลวงเกี่ยวกับการอัปเดตสถานะการค้าของ DHL Express

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์อีเมลแจ้งสถานะการอัปเดตจาก DHL Express Commerce และพบว่าเป็นอีเมลหลอกลวงที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบของผู้ใช้ อีเมลเหล่านี้ปลอมแปลงเป็นข้อความแจ้งเตือนที่ถูกต้องจาก DHL Express Commerce และแจ้งผู้รับอย่างไม่ถูกต้องว่ามีการส่งเอกสารสามฉบับให้พวกเขา

โดยทั่วไปแล้ว ข้อความเหล่านี้จะมีหัวข้อว่า 'DHL Express Commerce' และถูกออกแบบมาอย่างพิถีพิถันให้คล้ายกับการแจ้งเตือนจากแพลตฟอร์มการแชร์เอกสาร เพื่อเพิ่มความน่าเชื่อถือ อีเมลเหล่านี้จะแสดงบรรทัดที่ดูเหมือนจะเป็นไฟล์แนบชื่อ 'DHL Express Invoice Payment.docx' อย่างไรก็ตาม นี่ไม่ใช่ไฟล์แนบจริง ๆ แต่เป็นองค์ประกอบที่สามารถคลิกได้ ซึ่งสร้างขึ้นเพื่อหลอกให้ผู้รับคลิกเข้าไปดูในอีเมล

จากเนื้อหาข้อความ ระบบตรวจพบเอกสารสามฉบับที่ถูกส่งต่อให้ผู้รับ และคาดว่าจะสามารถเข้าถึงได้ทันที

กับดักพอร์ทัลเอกสารปลอม

การหลอกลวงนี้อาศัยการโน้มน้าวให้ผู้รับคลิกไฟล์แนบปลอมหรือปุ่ม "ดูเอกสาร" ไม่ว่าผู้รับจะเลือกตัวเลือกใด ทั้งสองตัวเลือกจะนำผู้ใช้ไปยังปลายทางที่เป็นการฉ้อโกงเดียวกัน

หน้าเว็บที่เชื่อมโยงนั้นโฮสต์อยู่บนแพลตฟอร์ม Firebase Storage ของ Google แม้ว่า Firebase จะเป็นบริการคลาวด์โฮสติ้งที่ถูกต้องตามกฎหมาย แต่แฮกเกอร์มักใช้แพลตฟอร์มที่มีชื่อเสียงในทางที่ผิดเพื่อโฮสต์เนื้อหาที่เป็นอันตราย เนื่องจากโดเมนเหล่านั้นมักดูน่าเชื่อถือและอาจหลบเลี่ยงตัวกรองความปลอดภัยขั้นพื้นฐานได้

เมื่อผู้เข้าชมเข้ามายังหน้าเว็บ พวกเขาจะพบกับแบบฟอร์มล็อกอินปลอมของ DHL Express ที่ขอที่อยู่อีเมลและรหัสผ่าน แม้จะดูเหมือนเป็นของ DHL แต่หน้าเว็บนี้ไม่มีส่วนเกี่ยวข้องใดๆ กับ DHL เลย ข้อมูลใดๆ ที่ป้อนลงในแบบฟอร์มจะถูกส่งตรงไปยังกลุ่มมิจฉาชีพที่ดำเนินการแคมเปญนี้

เหตุใดเอกสารประจำตัวที่ถูกขโมยจึงมีค่ามาก

ข้อมูลการเข้าสู่ระบบเป็นหนึ่งในทรัพย์สินที่เหล่าอาชญากรไซเบอร์ต้องการมากที่สุด หลายคนใช้รหัสผ่านเดียวกันกับบัญชีออนไลน์หลายบัญชี ทำให้ข้อมูลการเข้าสู่ระบบที่ถูกโจรกรรมเพียงชุดเดียวมีมูลค่าสูงมาก

เมื่อผู้โจมตีได้รับข้อมูลการเข้าสู่ระบบผ่านแคมเปญฟิชชิง พวกเขามักจะทดสอบข้อมูลประจำตัวเหล่านั้นกับบริการต่างๆ รวมถึงแพลตฟอร์มอีเมล เว็บไซต์ช้อปปิ้ง บัญชีเก็บข้อมูลบนคลาวด์ และเครือข่ายโซเชียลมีเดีย การเจาะบัญชีที่สำเร็จอาจส่งผลให้เกิดการซื้อสินค้าโดยไม่ได้รับอนุญาต การขโมยข้อมูลส่วนบุคคล การยึดครองบัญชี การสูญเสียทางการเงิน และการสูญเสียการเข้าถึงบริการออนไลน์ที่สำคัญ

ด้วยเหตุนี้ ผู้รับจึงไม่ควรป้อนข้อมูลประจำตัวใดๆ บนเว็บไซต์ที่ได้รับผ่านอีเมลที่ไม่ได้รับเชิญ โดยไม่ตรวจสอบความถูกต้องของข้อความและปลายทางก่อน

สัญญาณเตือนที่บ่งบอกถึงการหลอกลวง

มีหลายตัวบ่งชี้ที่แสดงให้เห็นถึงลักษณะการหลอกลวงของอีเมลเหล่านี้:

• ข้อความดังกล่าวระบุว่ามีการส่งเอกสารออกไปโดยไม่คาดคิด และขอให้มีการตอบกลับโดยทันที
• ไฟล์ 'DHL Express Invoice Payment.docx' ที่แสดงอยู่นั้นเป็นเพียงไฟล์ล่อให้คลิกเท่านั้น ไม่ใช่ไฟล์แนบจริง
• ทั้งสองส่วนที่คลิกได้นั้นนำไปสู่หน้าล็อกอินเดียวกัน แทนที่จะเป็นบริการแชร์เอกสารที่ถูกต้องตามกฎหมาย
• เว็บไซต์ดังกล่าวขอข้อมูลอีเมลเพื่อเข้าสู่ระบบ ทั้งๆ ที่ไม่มีความเกี่ยวข้องใดๆ กับ DHL อย่างถูกต้องตามกฎหมาย
• การสื่อสารนี้พยายามใช้ประโยชน์จากชื่อเสียงของแบรนด์ที่น่าเชื่อถือเพื่อสร้างความเชื่อมั่นให้กับผู้รับสาร

ความเชื่อมโยงที่อาจเกิดขึ้นกับมัลแวร์

การโจมตีแบบฟิชชิ่งไม่ได้จำกัดอยู่แค่การขโมยข้อมูลส่วนตัวเสมอไป ในบางกรณี อีเมลสแปมที่คล้ายกันนี้ยังถูกใช้เพื่อแพร่กระจายมัลแวร์อีกด้วย

โดยทั่วไปแล้ว อาชญากรไซเบอร์มักปลอมแปลงไฟล์ที่เป็นอันตรายให้มีลักษณะคล้ายใบแจ้งหนี้ ใบแจ้งเตือนการจัดส่ง การยืนยันการชำระเงิน สัญญา หรือเอกสารทางธุรกิจทั่วไปอื่นๆ ไฟล์ที่เป็นอันตรายเหล่านี้อาจถูกส่งมาในรูปแบบของโปรแกรมที่สามารถเรียกใช้งานได้ ไฟล์บีบอัด เอกสาร PDF สคริปต์ หรือไฟล์ Microsoft Office ที่มีโค้ดที่เป็นอันตรายฝังอยู่

โดยทั่วไปแล้ว การติดมัลแวร์มักต้องอาศัยการโต้ตอบจากผู้ใช้ก่อนที่มัลแวร์จะทำงาน การเปิดไฟล์แนบที่เป็นอันตราย การเปิดใช้งานมาโคร การเรียกใช้ไฟล์ที่ดาวน์โหลดมา หรือการคลิกลิงก์ที่หลอกลวง อาจทำให้กระบวนการโจมตีเริ่มต้นขึ้น การระมัดระวังเมื่อจัดการกับอีเมลที่ไม่พึงประสงค์จะช่วยลดโอกาสในการติดมัลแวร์ได้อย่างมาก

วิธีตอบกลับหากคุณได้รับอีเมลฉบับนี้

หากอีเมลนี้ปรากฏในกล่องจดหมายเข้า วิธีที่ปลอดภัยที่สุดคือหลีกเลี่ยงการคลิกลิงก์ ปุ่ม หรือไฟล์แนบใดๆ ที่อยู่ในอีเมลนั้น ควรลบข้อความนั้นทันที บุคคลที่ได้ป้อนข้อมูลประจำตัวผ่านหน้าล็อกอินปลอมไปแล้ว ควรเปลี่ยนรหัสผ่านที่ได้รับผลกระทบโดยเร็วที่สุด และอัปเดตบัญชีอื่นๆ ที่ใช้ข้อมูลประจำตัวเดียวกัน การเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (Multi-factor authentication) ทุกครั้งที่ทำได้ จะช่วยเพิ่มระดับการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อีกชั้นหนึ่ง

การประเมินขั้นสุดท้าย

อีเมลแจ้งสถานะการอัปเดตจาก DHL Express Commerce เป็นอีเมลหลอกลวง (phishing scam) ที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบโดยแอบอ้างเป็น DHL Express Commerce บรรทัดแนบไฟล์ปลอมและปุ่ม 'ดูเอกสาร' จะนำผู้ใช้ไปยังหน้าเข้าสู่ระบบปลอมเดียวกัน ซึ่งโฮสต์อยู่บนบริการคลาวด์ที่ถูกนำไปใช้ในทางที่ผิด เนื่องจากแคมเปญนี้ไม่มีส่วนเกี่ยวข้องกับ DHL หรือองค์กรที่ถูกต้องตามกฎหมายใดๆ ผู้รับควรพิจารณาข้อความเหล่านี้ว่าเป็นอันตราย หลีกเลี่ยงการโต้ตอบใดๆ กับเนื้อหา และลบออกจากกล่องจดหมายทันที