DocuSign - การหลอกลวงทางอีเมลเกี่ยวกับเอกสารแผนกกฎหมาย
อีเมลที่ไม่คาดคิดอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยทางไซเบอร์อย่างมาก โดยเฉพาะอย่างยิ่งเมื่ออีเมลเหล่านั้นสร้างความรู้สึกเร่งด่วนและดูเหมือนจะมาจากแบรนด์ที่น่าเชื่อถือ อาชญากรไซเบอร์มักใช้ประโยชน์จากบริษัทที่มีชื่อเสียงเพื่อสร้างข้อความหลอกลวงให้ดูน่าเชื่อถือและเพิ่มโอกาสที่ผู้รับจะโต้ตอบกับข้อความเหล่านั้น อีเมลหลอกลวง "เอกสารแผนกกฎหมายของ DocuSign" เป็นตัวอย่างหนึ่ง อีเมลเหล่านี้ไม่ได้เกี่ยวข้องกับ DocuSign หรือบริษัท องค์กร หรือหน่วยงานที่ถูกต้องตามกฎหมายใดๆ แต่เป็นส่วนหนึ่งของแคมเปญสแปมที่เป็นอันตรายซึ่งออกแบบมาเพื่อแพร่กระจายมัลแวร์
สารบัญ
คำขอเอกสารทางกฎหมายปลอม
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์อีเมลเหล่านี้และระบุว่าเป็นอีเมลสแปมที่มีมัลแวร์แฝงตัวมาเพื่อหลอกลวงผู้รับให้ดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย โดยปกติอีเมลเหล่านี้จะมีหัวข้อว่า 'Supply Chain Regulatory Filing ID#SCR-392847' และอ้างว่ามาจากฝ่ายกฎหมายของ DocuSign
จากข้อความดังกล่าว เอกสารได้ถูกส่งไปเพื่อลงลายมือชื่ออิเล็กทรอนิกส์และต้องได้รับการตรวจสอบภายในสามวัน เพื่อสร้างความน่าเชื่อถือ อีเมลฉบับนี้จึงมีปุ่ม "ตรวจสอบเอกสาร" ที่เด่นชัด และมี "วิธีการลงลายมือชื่อทางเลือก" พร้อมรหัสรักษาความปลอดภัย องค์ประกอบเหล่านี้ถูกออกแบบมาอย่างพิถีพิถันเพื่อให้คำขอมีความน่าเชื่อถือและเหมือนจริง
แม้ว่า DocuSign จะเป็นแพลตฟอร์มลายเซ็นอิเล็กทรอนิกส์ที่ถูกต้องตามกฎหมาย แต่ก็ไม่มีส่วนเกี่ยวข้องกับแคมเปญนี้ นอกจากนี้ ที่อยู่อีเมลของผู้ส่งมาจากโดเมนของบุคคลที่สามที่ไม่เกี่ยวข้อง ไม่ใช่จาก DocuSign เอง
จุดประสงค์ที่แท้จริงเบื้องหลังอีเมล
เป้าหมายสูงสุดของกลโกงนี้คือการชักจูงให้ผู้รับดาวน์โหลดไฟล์อิมเมจดิสก์ ISO ที่เป็นอันตราย ไม่ว่าเหยื่อจะคลิกปุ่มที่ให้มาหรือทำตามคำแนะนำอื่น ๆ พวกเขาก็จะถูกชักนำให้ดาวน์โหลดไฟล์ที่เป็นอันตรายนั้น
ไฟล์ ISO สามารถติดตั้งโดยตรงบนระบบปฏิบัติการ Windows ในฐานะไดรฟ์เสมือน ทำให้เป็นเครื่องมือที่น่าสนใจสำหรับอาชญากรไซเบอร์ ผู้โจมตีมักใช้รูปแบบนี้เพราะบางครั้งสามารถหลีกเลี่ยงตัวกรองความปลอดภัยที่อาจบล็อกไฟล์แนบที่เป็นอันตรายที่เห็นได้ชัดเจนกว่าได้
เมื่อติดตั้งไฟล์ ISO แล้ว จะแสดงไฟล์ปฏิบัติการเพียงไฟล์เดียวที่มีชื่อว่า:
'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'
ชื่อไฟล์นั้นตั้งใจทำให้เข้าใจผิด การใส่ '.DOC' เข้าไปนั้นออกแบบมาเพื่อให้ไฟล์ดูเหมือนเอกสาร Microsoft Word ที่ไม่เป็นอันตราย แต่ในความเป็นจริงแล้ว นามสกุล '.exe' สุดท้ายนั้นระบุว่าเป็นโปรแกรมที่สามารถเรียกใช้งานได้ และสามารถรันโค้ดบนคอมพิวเตอร์ของเหยื่อได้
หลังจากเปิดไฟล์แล้วจะเกิดอะไรขึ้น?
ยังไม่สามารถระบุได้อย่างแน่ชัดว่ามัลแวร์ที่ถูกส่งมาในแคมเปญนี้คือชนิดใด อย่างไรก็ตาม ไฟล์ดังกล่าวอาจติดตั้งภัยคุกคามอันตรายหลากหลายประเภท รวมถึงแรนซัมแวร์ โทรจันสำหรับโจรกรรมข้อมูลธนาคาร โปรแกรมขโมยข้อมูลประจำตัว โปรแกรมดักจับการกดแป้นพิมพ์ โทรจันสำหรับการเข้าถึงระยะไกล (RAT) หรือซอฟต์แวร์ที่เป็นอันตรายรูปแบบอื่นๆ
ผลที่ตามมาที่อาจเกิดขึ้นได้แก่:
- การขโมยชื่อผู้ใช้ รหัสผ่าน และข้อมูลทางการเงิน
- การโจรกรรมข้อมูลส่วนบุคคล การสูญเสียทางการเงิน การเข้าถึงระบบโดยไม่ได้รับอนุญาต และการเข้ารหัสข้อมูล
เนื่องจากความสามารถของมัลแวร์ยังไม่เป็นที่ทราบแน่ชัด การโต้ตอบใดๆ กับไฟล์ปฏิบัติการจึงควรได้รับการพิจารณาว่าเป็นเหตุการณ์ด้านความปลอดภัยที่ร้ายแรง
สัญญาณเตือนที่บ่งบอกถึงการหลอกลวง
แม้ว่าข้อความจะดูน่าเชื่อถือ แต่มีหลายตัวบ่งชี้ที่ชี้ให้เห็นถึงกิจกรรมฉ้อโกง อีเมลฉบับนี้เน้นความเร่งด่วนโดยกำหนดเส้นตายสามวันสำหรับการตรวจสอบเอกสาร นอกจากนี้ยังอ้างถึงรหัสการยื่นเอกสารทางกฎหมายเพื่อสร้างความรู้สึกสำคัญและกดดันให้ผู้รับดำเนินการอย่างรวดเร็วโดยไม่ตรวจสอบความถูกต้องของคำขอ
การใช้ชื่อแบรนด์ที่น่าเชื่อถือ เช่น DocuSign เป็นอีกหนึ่งกลยุทธ์การหลอกลวงทางสังคมที่พบได้ทั่วไป อาชญากรไซเบอร์เข้าใจว่าผู้ใช้มีแนวโน้มที่จะเชื่อถือบริการที่คุ้นเคยมากกว่า โดยเฉพาะอย่างยิ่งเมื่อข้อความดูเป็นมืออาชีพและมีรายละเอียดต่างๆ เช่น รหัสยืนยันหรือคำแนะนำในการลงนาม
สิ่งที่ควรทำหากคุณได้รับอีเมลฉบับนี้
ผู้รับควรหลีกเลี่ยงการโต้ตอบใดๆ กับข้อความดังกล่าว วิธีที่ปลอดภัยที่สุดคือลบอีเมลทันทีและงดเว้นการเปิดไฟล์แนบ คลิกลิงก์ ดาวน์โหลดไฟล์ หรือปฏิบัติตามคำแนะนำใดๆ ที่อยู่ในข้อความนั้น
ผู้ที่ดาวน์โหลดหรือเรียกใช้ไฟล์ดังกล่าวไปแล้ว ควรตัดการเชื่อมต่ออุปกรณ์ที่ได้รับผลกระทบออกจากเครือข่ายหากเป็นไปได้ และทำการสแกนอย่างละเอียดโดยใช้โปรแกรมป้องกันไวรัสหรือซอฟต์แวร์รักษาความปลอดภัยปลายทางที่มีชื่อเสียง นอกจากนี้ ควรเปลี่ยนรหัสผ่านที่อาจถูกบุกรุกในอุปกรณ์ที่ปลอดภัย โดยเฉพาะอย่างยิ่งหากบัญชีสำคัญอาจถูกเปิดเผย
แคมเปญสแปมแพร่กระจายมัลแวร์ได้อย่างไร
แคมเปญที่ใช้ธีม DocuSign เป็นเพียงตัวอย่างหนึ่งของแนวโน้มที่กว้างขึ้นในอาชญากรรมไซเบอร์ อีเมลสแปมที่เป็นอันตรายยังคงเป็นหนึ่งในวิธีการที่พบบ่อยที่สุดในการแพร่กระจายมัลแวร์ ผู้โจมตีมักปลอมแปลงเนื้อหาที่เป็นอันตรายให้เป็นใบแจ้งหนี้ ประกาศทางกฎหมาย การอัปเดตการจัดส่ง การแจ้งเตือนบัญชี หรือเอกสารทางธุรกิจ
รูปแบบการแพร่กระจายมัลแวร์ที่พบได้ทั่วไป ได้แก่ ไฟล์บีบอัด ZIP และ RAR ไฟล์ปฏิบัติการ เอกสาร PDF ไฟล์ Microsoft Office สคริปต์ และรูปแบบไฟล์ภาพดิสก์ เช่น ไฟล์ ISO และ IMG ไฟล์ที่เป็นอันตรายบางไฟล์จะเริ่มกระบวนการติดเชื้อทันทีที่เปิด ในขณะที่บางไฟล์ต้องการการกระทำเพิ่มเติมจากผู้ใช้ เช่น การเปิดใช้งานมาโคร การแตกไฟล์บีบอัด หรือการเรียกใช้ไฟล์ปฏิบัติการที่ฝังอยู่ภายใน
ข้อคิดส่งท้าย
การหลอกลวงทางอีเมลในชื่อ 'DocuSign - เอกสารแผนกกฎหมาย' แสดงให้เห็นว่าอาชญากรไซเบอร์ผสมผสานการแอบอ้างแบรนด์ที่น่าเชื่อถือ ข้อความที่มีเนื้อหาเกี่ยวกับกฎหมาย และความเร่งด่วนเทียม เพื่อล่อลวงเหยื่อให้เรียกใช้มัลแวร์ แม้ว่าข้อความอาจดูเหมือนจริงในตอนแรก แต่จุดประสงค์ที่แท้จริงคือการแพร่เชื้อเข้าสู่ระบบและอาจทำให้ข้อมูลสำคัญรั่วไหล การระมัดระวังต่ออีเมลที่ไม่พึงประสงค์ โดยเฉพาะอย่างยิ่งอีเมลที่ขอให้ดำเนินการทันทีหรือดาวน์โหลดไฟล์ ยังคงเป็นหนึ่งในวิธีการป้องกันภัยคุกคามดังกล่าวที่มีประสิทธิภาพมากที่สุด
System Messages
The following system messages may be associated with DocuSign - การหลอกลวงทางอีเมลเกี่ยวกับเอกสารแผนกกฎหมาย:
Subject: Supply Chain Regulatory Filing ID#SCR-392847 |