Siparişiniz Yolda E-posta Dolandırıcılığı
Satın alımlar, teslimatlar veya hesap hareketleriyle ilgili beklenmedik e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları doğrulama yapmadan harekete geçmeye zorlamak amacıyla kötü amaçlı mesajları sıklıkla meşru iş iletişimleri gibi gösterirler. "Siparişiniz Yolda" e-posta kampanyası da bunun bir örneğidir. Detaylı analiz, bu e-postaların kötü amaçlı spam mesajları olduğunu ve herhangi bir meşru şirket, kargo şirketi, perakendeci veya kuruluşla bağlantılı olmadığını doğrulamıştır.
İçindekiler
Aciliyet hissi yaratmak için tasarlanmış sahte kargo bildirimleri
"Siparişiniz Yolda" e-postaları, gerçek gönderi bildirimlerine benzeyecek şekilde hazırlanmıştır. Mesajların güvenilir ve profesyonel görünmesi için genellikle sipariş numaraları ve referans kodları içeren konu satırlarıyla birlikte gelirler.
Alıcılara paketlerinin gönderildiği bilgisi verilir ve takip bilgilerine ve teslimat güncellemelerine erişmek için 'Gönderi Ayrıntılarını Görüntüle' düğmesine tıklamaları teşvik edilir. İfade biçimi, alıcıların mesajı dikkatlice incelemeden verilen bağlantıyla etkileşime girme olasılığını artırmak amacıyla kasıtlı olarak merak ve aciliyet duygusu uyandıracak şekilde tasarlanmıştır.
Gerçekte, bu e-postaların herhangi bir gerçek satın alma veya gönderiyle ilgisi yoktur. Tek amaçları, alıcıları sistemlere kötü amaçlı yazılım bulaştırmak için tasarlanmış zararlı bir web sitesine yönlendirmektir.
Dolandırıcılığın Arkasındaki Kötü Amaçlı Web Sitesi
Gömülü bağlantıya tıklamak, kullanıcıları increminder.com adresinde barındırılan sahte bir sayfaya yönlendirir. Site, sipariş yönetimi veya kargo portalına benzeyecek şekilde tasarlanmıştır ve bu da meşruiyet yanılsamasını daha da güçlendirir.
Web sayfası, gönderi bilgilerinin işlendiğini ve sipariş detaylarının indirilmeye hazır olduğunu belirtiyor. Ayrıca, indirilen dosyanın paketi almak için gerekli olabileceği konusunda uyarıda bulunarak, ziyaretçileri indirme işlemine devam etmeye zorlamayı amaçlayan psikolojik bir taktik uyguluyor.
Site, takip bilgisi veya sipariş belgesi sağlamak yerine, 'ScreenConnect.ClientSetup.msi' adlı kötü amaçlı bir dosya gönderiyor. Bu dosya normal bir Windows yükleyicisi gibi görünse de aslında ScreenConnect'in truva atı bulaşmış bir sürümünü içeriyor.
Truva atı bulaşmış uzaktan erişim yazılımları ciddi riskler oluşturuyor.
ScreenConnect, ConnectWise tarafından geliştirilen ve BT destek uzmanları tarafından uzaktan yardım ve sistem yönetimi için yaygın olarak kullanılan meşru bir uzaktan masaüstü yazılımıdır. Bununla birlikte, siber suçlular bu tür araçları sık sık değiştirerek ve kurbanların cihazlarına yetkisiz uzaktan erişim sağlayabilen kötü amaçlı sürümlerini dağıtarak kötüye kullanmaktadır.
Zararlı yükleyici çalıştırıldıktan sonra, uzaktan erişim aracı dikkat çekmeden arka planda sessizce çalışabilir. Saldırganlar daha sonra ele geçirdikleri sistem üzerinde kapsamlı kontrol elde edebilir ve aşağıdakiler de dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirebilirler:
- Gizli dosyaları ve saklanan kimlik bilgilerini çalmak
- Kullanıcı faaliyetlerini izlemek ve hassas bilgileri toplamak
- Fidye yazılımı veya casus yazılım gibi ek kötü amaçlı yazılımların yüklenmesi
- Sahte işlemler gerçekleştirmek veya çevrimiçi hesapları kötüye kullanmak
Kötü amaçlı yazılım sürekli uzaktan erişim sağladığı için, etkilenen sistemlerin tamamen tehlikeye girmiş olduğu kabul edilmelidir.
Kötü Amaçlı Spam Kampanyaları Kötü Amaçlı Yazılımları Nasıl Yayıyor?
Spam kampanyaları genellikle zararlı ekler veya zararlı web sitelerine yönlendiren bağlantılar aracılığıyla kötü amaçlı yazılım dağıtır. Çoğu durumda, dosyalar alıcıları şüphe duymadan açmaya teşvik etmek için fatura, makbuz, kargo belgesi veya hesap özeti gibi gizlenmiştir.
Bu saldırıda, saldırganlar doğrudan bir dosya eklemek yerine kötü amaçlı bir bağlantı kullanıyor. Bağlantıyı takip eden alıcılar, sahte sipariş portalına yönlendiriliyor ve burada virüslü kurulum dosyasını indirmeye ikna ediliyorlar. Çalıştırıldıktan sonra, kötü amaçlı yazılım kurban için büyük ölçüde görünmez kalırken uzaktan erişim yetenekleri oluşturuyor.
Bu yöntem, zararlı yazılımın doğrudan e-postaya eklenmek yerine harici bir yerde barındırılması sayesinde saldırganların bazı e-posta güvenlik filtrelerini atlamasına olanak tanır.
Etkilenen Kullanıcılar İçin Acil Adımlar
'ScreenConnect.ClientSetup.msi' yükleyicisini indiren veya çalıştıran herkes, sisteme yetkisiz erişimin gerçekleşmiş olabileceğini varsaymalıdır. Olası zararı en aza indirmek için derhal harekete geçilmesi şiddetle tavsiye edilir.
Etkilenen cihazla ilgili tüm hassas şifreler ayrı ve güvenli bir sistemden değiştirilmeli ve gecikmeksizin kapsamlı bir virüs veya kötü amaçlı yazılım taraması yapılmalıdır. Finansal hesaplar, e-posta hesapları ve işletme giriş bilgileri de şüpheli faaliyetler açısından izlenmelidir.
Zararlı içerikli e-posta derhal silinmeli ve alıcılar mesajla ilişkili herhangi bir bağlantıya tıklamaktan veya dosyayı indirmekten kaçınmalıdır.
Teslimat Temalı Dolandırıcılıklara Karşı Korunma
Teslimat temalı kimlik avı ve kötü amaçlı yazılım kampanyaları, yaygın çevrimiçi alışveriş alışkanlıklarını ve paket güncellemesi beklentisini istismar ettikleri için son derece etkili olmaya devam etmektedir. Saldırganlar, alıcıların mesajın meşruiyetini dikkatlice değerlendirmeden önce hızlı tepki vermelerine güvenirler.
Kullanıcılar, gönderi bildirimlerini doğrudan resmi perakendeci veya kurye web siteleri üzerinden doğrulayarak, istenmeyen e-postalardan indirmelerden kaçınarak ve beklenmedik teslimat uyarılarına şüpheyle yaklaşarak bu tehditlere maruz kalma riskini azaltabilirler. Cilalı ve profesyonel görünen e-postalar bile, ikna edici marka imajı ve acil durum dili altında ciddi güvenlik tehditlerini gizleyebilir.
System Messages
The following system messages may be associated with Siparişiniz Yolda E-posta Dolandırıcılığı:
Subject: Delivery update: order #[145133] dispatched – Ref: #F88410 |
