DocuSign - Hukuk Departmanı Belge E-posta Dolandırıcılığı

Beklenmedik e-postalar, özellikle aciliyet hissi uyandırıp güvenilir markalardan geliyormuş gibi göründüklerinde, önemli siber güvenlik riskleri oluşturabilir. Siber suçlular, sahte mesajları inandırıcı hale getirmek ve alıcıların bunlarla etkileşime girme olasılığını artırmak için sıklıkla tanınmış şirketleri kullanırlar. 'DocuSign - Hukuk Departmanı Belgesi' e-posta dolandırıcılığı da bunun bir örneğidir. Bu e-postalar DocuSign veya herhangi bir meşru şirket, kuruluş veya varlıkla ilişkili değildir. Bunun yerine, kötü amaçlı yazılım dağıtmak için tasarlanmış kötü niyetli bir spam kampanyasının parçasıdırlar.

Sahte Hukuki Belge Talebi

Siber güvenlik araştırmacıları bu e-postaları analiz ederek, alıcıları kötü amaçlı yazılım indirmeye kandırmayı amaçlayan kötü amaçlı spam mesajları olarak tanımladılar. E-postalar genellikle 'Tedarik Zinciri Düzenleyici Dosyalama Kimliği #SCR-392847' konu başlığıyla geliyor ve DocuSign'ın Hukuk Departmanından geldiği iddia ediliyor.

Mesajda belirtildiği üzere, elektronik imza için bir belge gönderilmiş ve üç gün içinde incelenmesi gerekmektedir. Meşruiyet yanılsamasını güçlendirmek için, e-postada belirgin bir "Belgeyi İncele" düğmesi bulunmakta ve bir güvenlik koduyla birlikte "Alternatif imzalama yöntemi" sunulmaktadır. Bu unsurlar, talebin gerçek ve güvenilir görünmesini sağlamak için özenle tasarlanmıştır.

DocuSign meşru bir elektronik imza platformu olsa da, bu kampanyayla hiçbir bağlantısı yoktur. Dahası, gönderenin e-posta adresi DocuSign'ın kendisinden değil, ilgisiz bir üçüncü taraf alan adından kaynaklanmaktadır.

E-postanın Gerçek Amacı

Bu dolandırıcılığın nihai amacı, alıcıları kötü amaçlı bir ISO disk imaj dosyası indirmeye ikna etmektir. Kurbanlar verilen düğmeye tıklasalar da alternatif talimatları izleseler de, zararlı dosyayı edinmeye yönlendirilirler.

ISO dosyaları, Windows tarafından sanal sürücüler olarak doğrudan bağlanabildiğinden, siber suçlular için cazip araçlar haline gelmektedir. Saldırganlar bu formatı sıklıkla kullanırlar çünkü bu format, aksi takdirde daha açık kötü amaçlı eklentileri engelleyecek güvenlik filtrelerini bazen atlatabilir.

ISO dosyası bağlandıktan sonra, şu isimde tek bir çalıştırılabilir dosya ortaya çıkar:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Dosya adı kasıtlı olarak yanıltıcıdır. '.DOC' uzantısının eklenmesi, dosyanın zararsız bir Microsoft Word belgesi gibi görünmesini sağlamak için tasarlanmıştır. Gerçekte, sonundaki '.exe' uzantısı, dosyanın kurbanın bilgisayarında kod çalıştırabilen yürütülebilir bir program olduğunu belirtir.

Dosya açıldıktan sonra ne olur?

Bu kampanya aracılığıyla bulaştırılan kötü amaçlı yazılımın tam olarak ne olduğu henüz kesin olarak belirlenmemiştir. Bununla birlikte, dosya fidye yazılımları, bankacılık truva atları, kimlik bilgisi hırsızları, keylogger'lar, uzaktan erişim truva atları (RAT'ler) veya diğer kötü amaçlı yazılım türleri de dahil olmak üzere çeşitli tehlikeli tehditler yükleyebilir.

Olası sonuçlar şunlardır:

• Kullanıcı adlarının, şifrelerin ve finansal bilgilerin çalınması
• Kimlik hırsızlığı, mali kayıplar, yetkisiz sistem erişimi ve veri şifreleme

Kötü amaçlı yazılımın yetenekleri bilinmediğinden, çalıştırılabilir dosya ile herhangi bir etkileşim ciddi bir güvenlik ihlali olarak değerlendirilmelidir.

Dolandırıcılığı Ortaya Çıkaran Uyarı İşaretleri

Mesajın ikna edici görünümüne rağmen, çeşitli göstergeler sahtekarlık faaliyetine işaret etmektedir. E-posta, belge incelemesi için üç günlük bir süre belirleyerek aciliyet duygusuna büyük ölçüde dayanmaktadır. Ayrıca, alıcıları talebi doğrulamadan hızlı hareket etmeye zorlamak ve önem duygusu yaratmak için yasal bir dosyalama tanımlayıcısına atıfta bulunmaktadır.

DocuSign gibi güvenilir bir marka adının kullanılması da yaygın bir sosyal mühendislik taktiğidir. Siber suçlular, kullanıcıların özellikle mesaj profesyonel göründüğünde ve doğrulama kodları veya imzalama talimatları gibi ayrıntılar içerdiğinde tanıdık hizmetlere daha çok güvendiklerini bilirler.

Bu E-postayı Alırsanız Ne Yapmalısınız?

Alıcılar mesajla hiçbir şekilde etkileşime girmemelidir. En güvenli yöntem, e-postayı hemen silmek ve ekleri açmaktan, bağlantılara tıklamaktan, dosyaları indirmekten veya mesajda yer alan herhangi bir talimatı uygulamaktan kaçınmaktır.

Dosyayı zaten indirmiş veya çalıştırmış olan kişiler, mümkünse etkilenen cihazı ağdan ayırmalı ve güvenilir bir antivirüs veya uç nokta güvenlik yazılımı kullanarak kapsamlı bir tarama gerçekleştirmelidir. Özellikle hassas hesapların açığa çıkmış olma olasılığı varsa, potansiyel olarak tehlikeye girmiş tüm şifreler temiz bir cihazdan değiştirilmelidir.

Spam kampanyaları kötü amaçlı yazılımları nasıl yayıyor?

DocuSign temalı kampanya, siber suçlardaki daha geniş bir eğilimin yalnızca bir örneğidir. Kötü amaçlı spam e-postalar, zararlı yazılımların dağıtılmasında en yaygın yöntemlerden biri olmaya devam etmektedir. Saldırganlar, zararlı içeriği genellikle faturalar, yasal bildirimler, teslimat güncellemeleri, hesap uyarıları veya iş belgeleri olarak gizlerler.

Yaygın kötü amaçlı yazılım dağıtım biçimleri arasında ZIP ve RAR arşivleri, çalıştırılabilir dosyalar, PDF belgeleri, Microsoft Office dosyaları, komut dosyaları ve ISO ve IMG dosyaları gibi disk imajı biçimleri bulunur. Bazı kötü amaçlı dosyalar açıldıkları anda enfeksiyon sürecini başlatırken, diğerleri makroları etkinleştirme, arşivlenmiş içeriği çıkarma veya gömülü çalıştırılabilir dosyaları başlatma gibi ek kullanıcı eylemleri gerektirir.

Son Düşünceler

'DocuSign - Hukuk Departmanı Belgesi' e-posta dolandırıcılığı, siber suçluların güvenilir marka taklidi, hukuk temalı mesajlar ve yapay aciliyet duygusunu birleştirerek kurbanları kötü amaçlı yazılım çalıştırmaya nasıl teşvik ettiğini göstermektedir. Mesaj ilk bakışta gerçekçi görünse de, asıl amacı sistemlere bulaşmak ve hassas bilgileri tehlikeye atmaktır. Özellikle acil işlem veya dosya indirme talep eden istenmeyen e-postalara karşı temkinli bir yaklaşım sergilemek, bu tür tehditlere karşı en etkili savunmalardan biridir.