DHL Express Commerce Durum Güncellemesi E-posta Dolandırıcılığı

Siber güvenlik araştırmacıları, DHL Express Commerce Durum Güncellemesi e-postalarını analiz ederek bunların kullanıcıların giriş bilgilerini çalmak için tasarlanmış kimlik avı mesajları olduğunu belirledi. E-postalar, DHL Express Commerce'tan gelen meşru bildirimler gibi görünerek alıcılara üç belgenin kendileriyle paylaşıldığı konusunda yanlış bilgi veriyor.

Mesajlar genellikle 'DHL Express Commerce' konu başlığıyla gelir ve belge paylaşım platformundan gelen bildirimlere benzeyecek şekilde özenle hazırlanmıştır. Güvenilirliklerini artırmak için, e-postalarda 'DHL Express Fatura Ödemesi.docx' adlı bir ek gibi görünen bir satır bulunur. Ancak bu gerçek bir dosya eki değildir. Bunun yerine, alıcıları e-postayla etkileşime geçmeye kandırmak için oluşturulmuş tıklanabilir bir öğedir.

Mesaj içeriğine göre, sistem alıcıyla paylaşılan ve anında erişilebilen üç belge tespit etti.

Sahte Belge Portalı Tuzağı

Bu dolandırıcılık yöntemi, alıcıları sahte ek dosyaya veya 'Belgeleri Görüntüle' düğmesine tıklamaya ikna etmeye dayanıyor. Hangi seçenek seçilirse seçilsin, her ikisi de kullanıcıları aynı sahte hedefe yönlendiriyor.

Bağlantı verilen sayfa Google'ın Firebase Storage platformunda barındırılıyor. Firebase meşru bir bulut barındırma hizmeti olsa da, siber suçlular genellikle saygın platformları kötü amaçlı içerik barındırmak için kötüye kullanırlar çünkü bu tür alan adları genellikle güvenilir görünür ve temel güvenlik filtrelerinden kaçınabilir.

Ziyaretçiler sayfaya ulaştıklarında, e-posta adresi ve şifre isteyen sahte bir DHL Express giriş formuyla karşılaşırlar. Görünüşüne rağmen, sayfanın DHL ile hiçbir bağlantısı yoktur. Forma girilen tüm bilgiler doğrudan kampanyayı yürüten dolandırıcılara iletilir.

Çalınan Kimlik Bilgileri Neden Bu Kadar Değerli?

Giriş bilgileri, siber suçlular için en çok aranan varlıklar arasındadır. Birçok kişi aynı şifreyi birden fazla çevrimiçi hesapta tekrar kullanır; bu da ele geçirilen tek bir giriş bilgisi setini son derece değerli hale getirir.

Saldırganlar kimlik avı kampanyalarıyla giriş bilgilerini ele geçirdikten sonra, bu kimlik bilgilerini genellikle e-posta platformları, alışveriş siteleri, bulut depolama hesapları ve sosyal medya ağları da dahil olmak üzere çeşitli hizmetlerde test ederler. Başarılı hesap ele geçirmeleri, yetkisiz satın alımlara, kimlik hırsızlığına, hesap devralmalarına, mali kayıplara ve önemli çevrimiçi hizmetlere erişimin kaybına yol açabilir.

Bu nedenle, alıcılar istenmeyen e-postalar aracılığıyla ulaşılan web sitelerine, mesajın ve hedefin meşruiyetini önceden doğrulamadan asla kimlik bilgilerini girmemelidir.

Dolandırıcılığı Ortaya Çıkaran Uyarı İşaretleri

Bu e-postaların sahtekarlık niteliğini ortaya koyan çeşitli göstergeler vardır:

• Mesajda belgelerin beklenmedik bir şekilde paylaşıldığı iddia ediliyor ve acil müdahale çağrısında bulunuluyor.
• Görüntülenen 'DHL Express Fatura Ödemesi.docx' dosyası, gerçek bir ek dosya olmaktan ziyade, tıklanabilir bir yemden ibarettir.
• Tıklanabilir öğelerin her ikisi de meşru bir belge paylaşım hizmeti yerine aynı giriş sayfasına yönlendiriyor.
• Web sitesi, DHL ile hiçbir meşru bağlantısı olmamasına rağmen e-posta kimlik bilgilerini talep ediyor.
• Bu iletişim girişimi, alıcının güvenini kazanmak için güvenilir bir markanın itibarından yararlanmayı amaçlamaktadır.

Potansiyel Kötü Amaçlı Yazılım Bağlantısı

Kimlik avı kampanyaları her zaman kimlik bilgilerinin çalınmasıyla sınırlı değildir. Bazı durumlarda, benzer spam e-postalar kötü amaçlı yazılım dağıtmak için de kullanılır.

Siber suçlular genellikle kötü amaçlı dosyaları fatura, kargo bildirimi, ödeme onayı, sözleşme veya diğer rutin iş belgeleri gibi gösterirler. Bu zararlı dosyalar, çalıştırılabilir programlar, sıkıştırılmış arşivler, PDF belgeleri, komut dosyaları veya içine kötü amaçlı kod yerleştirilmiş Microsoft Office dosyaları olarak teslim edilebilir.

Virüs bulaşmaları genellikle kötü amaçlı yazılımın etkinleşmesinden önce bir tür kullanıcı etkileşimi gerektirir. Kötü amaçlı bir eklentiyi açmak, makroları etkinleştirmek, indirilen bir dosyayı çalıştırmak veya yanıltıcı bir bağlantıya tıklamak, güvenlik ihlali sürecini tetikleyebilir. İstenmeyen e-postaları ele alırken dikkatli olmak, enfeksiyon olasılığını önemli ölçüde azaltır.

E-postayı Aldığınızda Nasıl Yanıt Vermelisiniz?

Bu e-posta gelen kutunuzda görünüyorsa, en güvenli yaklaşım, içerdiği bağlantılar, düğmeler veya eklerle etkileşime girmekten kaçınmaktır. Mesaj derhal silinmelidir. Sahte giriş sayfası üzerinden kimlik bilgilerini zaten göndermiş olan kişiler, etkilenen şifrelerini gecikmeden değiştirmeli ve aynı kimlik bilgilerini kullanan diğer hesaplarını güncellemelidir. Mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirmek, yetkisiz erişime karşı ek bir koruma katmanı sağlayabilir.

Son Değerlendirme

DHL Express Commerce Durum Güncellemesi e-postası, DHL Express Commerce'ı taklit ederek giriş bilgilerini ele geçirmek için tasarlanmış bir kimlik avı dolandırıcılığıdır. Sahte ek satırı ve 'Belgeleri Görüntüle' düğmesi, kullanıcıları kötüye kullanılan bir bulut hizmeti üzerinden barındırılan aynı sahte giriş sayfasına yönlendirir. Kampanyanın DHL veya herhangi bir meşru kuruluşla hiçbir bağlantısı olmadığı için, alıcılar bu mesajları kötü amaçlı olarak değerlendirmeli, içerikleriyle her türlü etkileşimden kaçınmalı ve gelen kutularından derhal silmelidir.