CPanel – Шахрайство з необхідністю оновлення веб-пошти

Дослідники з безпеки дослідили повідомлення «cPanel — Webmail Update Required» і дійшли висновку, що це шахрайські фішингові електронні листи, а не законні повідомлення від cPanel, LLC. Повідомлення створені так, щоб виглядати як офіційні сповіщення про оновлення для Webmail, але їх справжня мета — збір облікових даних електронної пошти та інших конфіденційних даних. Ці спам-кампанії не пов’язані з жодною законною компанією, організацією чи постачальником послуг.

Що видає за себе повідомлення

Зазвичай електронний лист видає за важливе оновлення служби, призначене для покращення продуктивності та безпеки веб-пошти. Одержувачам повідомляють, що вони повинні оновити налаштування свого облікового запису протягом короткого періоду (зазвичай «24 години»), щоб уникнути перебоїв у роботі. Щоб підкреслити терміновість, повідомлення містить помітну кнопку оновлення або посилання, яке перенаправляє одержувачів на підроблену сторінку входу. Зазначений термін та офіційна мова є хитрощами соціальної інженерії, розробленими для того, щоб спонукати жертв діяти без перевірки повідомлення.

Як працює фішинг

Коли жертва натискає на посилання та надсилає облікові дані на фальшивій сторінці входу, ці дані перехоплюються та пересилаються зловмисникам. Маючи доступ до облікового запису електронної пошти, злочинці можуть: шукати в повідомленнях особисту або фінансову інформацію, скидати паролі в інших сервісах, видавати себе за власника облікового запису або надсилати шкідливі листи контактам жертви. Корпоративні поштові скриньки особливо цінні, оскільки їх компрометація може забезпечити доступ до мережі компанії та сприяти поширенню шкідливого програмного забезпечення, такого як трояни або програми-вимагачі.

Потенційні наслідки

• Несанкціонований доступ до електронної пошти, соціальних мереж, банківських послуг, електронної комерції або платформ для співпраці.
• Крадіжка особистих даних, шахрайські транзакції або запити на гроші, надіслані контактам жертви.
• Поширення шкідливого програмного забезпечення та подальший фішинг через повідомлення зі скомпрометованого облікового запису.

Спам-кампанії часто поширюють шкідливе програмне забезпечення

Окрім крадіжки облікових даних, ці кампанії часто поширюють шкідливе програмне забезпечення безпосередньо. Шкідливі повідомлення можуть містити вкладення або посилання, які встановлюють шкідливе програмне забезпечення під час відкриття або виконання. До поширених носіїв шкідливого програмного забезпечення належать документи та файли, які здаються нешкідливими, але містять активний вміст:

До поширених форматів шкідливих файлів належать:

• Файли Office (Word, Excel) або документи OneNote, для яких потрібно ввімкнути макроси або натиснути вбудовані посилання.

Оскільки деякі формати потребують додаткових дій користувача (наприклад, увімкнення макросів), зловмисники створюють переконливі інструкції (наприклад, «увімкнути перегляд оновлення»), щоб обманом змусити жертв дозволити зараження.

Як розпізнати фальшиві повідомлення

Електронні листи, що вимагають негайної дії, містять граматичні помилки чи незвичайні адреси відправників, або перенаправляють вас на сторінку входу, на яку можна перейти за вбудованим посиланням, є високоризикованими. Наявність загального привітання, невідповідних доменних імен або URL-адрес, які не відповідають офіційному домену компанії, є додатковим показником. Легітимні постачальники рідко вимагають повторного введення облікових даних через посилання в електронній пошті; у разі сумнівів перейдіть безпосередньо на офіційний веб-сайт постачальника, а не за посиланням.

Кроки, які слід виконати у разі компрометації

Змініть пароль для скомпрометованого облікового запису електронної пошти та для будь-яких інших облікових записів, які використовували той самий або схожий пароль. Використовуйте надійні, унікальні паролі та вмикайте багатофакторну автентифікацію, де це можливо.

Зверніться до офіційних каналів підтримки постраждалих служб, щоб повідомити про порушення та дотримуватися їхніх інструкцій щодо відновлення облікового запису. Також повідомте контакти, якщо шахраї надсилали повідомлення з вашої адреси.

Скануйте пристрої на наявність шкідливого програмного забезпечення за допомогою надійних інструментів безпеки та ізолюйте будь-які заражені системи від мереж до їх видалення. Контролюйте фінансові рахунки та розгляньте можливість розміщення сповіщень про шахрайство, якщо було викрито конфіденційні фінансові або ідентифікаційні дані.

Заключні нотатки

Шахрайство «cPanel — потрібне оновлення веб-пошти» поєднує правдоподібну технічну мову з терміновістю, створюючи переконливу пастку. Оскільки викрадені облікові записи електронної пошти можуть бути використані для далекосяжного шахрайства, крадіжки даних та кампаній зі шкідливим програмним забезпеченням, важливо скептично ставитися до будь-якого неочікуваного повідомлення про оновлення облікового запису. Коли ви бачите такий електронний лист, не переходьте за вбудованими посиланнями та не відкривайте ненадійні вкладення — натомість перевірте наявність помилок через офіційний веб-сайт постачальника або службу підтримки.