Шахрайство з оновленням статусу DHL Express Commerce електронною поштою

Дослідники з кібербезпеки проаналізували електронні листи з оновленнями статусу DHL Express Commerce та визначили, що це фішингові повідомлення, призначені для крадіжки облікових даних користувачів. Електронні листи маскуються під законні сповіщення від DHL Express Commerce та неправдиво інформують одержувачів про те, що їм було надіслано три документи.

Повідомлення зазвичай надходять із темою «DHL Express Commerce» та ретельно оформлені, щоб нагадувати сповіщення від платформи обміну документами. Щоб підвищити їхню достовірність, електронні листи містять рядок, який виглядає як вкладення під назвою «DHL Express Invoice Payment.docx». Однак це не фактичне вкладення файлу. Натомість це інтерактивний елемент, створений для того, щоб обманом змусити одержувачів взаємодіяти з електронним листом.

Згідно зі змістом повідомлення, система виявила три документи, які було надіслано одержувачу та до яких нібито можна отримати негайний доступ.

Пастка порталу підроблених документів

Шахрайство полягає в тому, щоб переконати одержувачів натиснути або підроблений вкладений файл, або кнопку «Переглянути документи». Незалежно від того, який варіант вибрано, обидва варіанти спрямовують користувачів до одного шахрайського місця призначення.

Посилання на сторінку розміщено на платформі Firebase Storage від Google. Хоча Firebase є легітимним хмарним хостингом, кіберзлочинці часто зловживають авторитетними платформами для розміщення шкідливого контенту, оскільки такі домени часто здаються надійними та можуть обходити основні фільтри безпеки.

Щойно відвідувачі потрапляють на сторінку, їм пропонується підроблена форма входу до DHL Express із запитом на адресу електронної пошти та пароль. Незважаючи на зовнішній вигляд, сторінка не має жодного зв’язку з DHL. Будь-які облікові дані, введені у форму, передаються безпосередньо шахраям, які керують цією кампанією.

Чому вкрадені посвідчення особи такі цінні

Облікові дані для входу є одними з найпопулярніших ресурсів для кіберзлочинців. Багато людей використовують один і той самий пароль для кількох онлайн-акаунтів, що робить один скомпрометований набір облікових даних дуже цінним.

Коли зловмисники отримують дані для входу через фішингові кампанії, вони часто перевіряють ці облікові дані в різних сервісах, включаючи поштові платформи, сайти покупок, облікові записи хмарних сховищ і соціальні мережі. Успішне злом облікових записів може призвести до несанкціонованих покупок, крадіжки особистих даних, захоплення облікових записів, фінансових втрат і втрати доступу до важливих онлайн-сервісів.

З цієї причини одержувачам ніколи не слід вводити облікові дані на веб-сайтах, на які вони потрапляють через небажані електронні листи, не перевіривши попередньо легітимність повідомлення та адресата.

Попереджувальні ознаки, що виявляють шахрайство

Кілька ознак виявляють шахрайський характер цих електронних листів:

• У повідомленні стверджується, що документи були оприлюднені несподівано, і закликається до негайної взаємодії.
• Відображений файл «DHL Express Invoice Payment.docx» – це лише клікабельна приманка, а не справжній вкладений файл.
• Обидва інтерактивні елементи ведуть на ту саму сторінку входу, а не до легітимного сервісу обміну документами.
• Вебсайт запитує облікові дані електронної пошти, незважаючи на відсутність легітимного зв'язку з DHL.
• У комунікації намагаються використати репутацію надійного бренду, щоб завоювати довіру одержувача.

Потенційне з’єднання зі шкідливим програмним забезпеченням

Фішингові кампанії не завжди обмежуються крадіжкою облікових даних. У деяких випадках подібні спам-листи також використовуються для розповсюдження шкідливого програмного забезпечення.

Кіберзлочинці зазвичай маскують шкідливі файли під рахунки-фактури, повідомлення про доставку, підтвердження оплати, контракти або інші звичайні бізнес-документи. Ці шкідливі файли можуть доставлятися як виконувані програми, стиснуті архіви, PDF-документи, скрипти або файли Microsoft Office, що містять вбудований шкідливий код.

Зараження часто вимагає певної форми взаємодії з користувачем, перш ніж шкідливе програмне забезпечення активується. Відкриття шкідливого вкладення, увімкнення макросів, виконання завантаженого файлу або натискання на оманливе посилання може спровокувати процес компрометації. Обережність під час обробки небажаних електронних листів значно знижує ймовірність зараження.

Як відповісти, якщо ви отримали електронного листа

Якщо цей електронний лист з’являється у вхідних повідомленнях, найбезпечнішим підходом є уникання взаємодії з будь-якими посиланнями, кнопками чи вкладеннями, що містяться в ньому. Повідомлення слід негайно видалити. Особи, які вже надали свої облікові дані через фальшиву сторінку входу, повинні негайно змінити паролі, на які поширюються порушення, та оновити всі інші облікові записи, які використовують ті самі облікові дані. Увімкнення багатофакторної автентифікації, де це можливо, може забезпечити додатковий рівень захисту від несанкціонованого доступу.

Заключна оцінка

Електронний лист із оновленням статусу DHL Express Commerce – це фішингова шахрайська схема, розроблена для збору облікових даних для входу, видаючи себе за DHL Express Commerce. Фальшивий рядок вкладення та кнопка «Переглянути документи» перенаправляють користувачів на ту саму шахрайську сторінку входу, розміщену через зловмисний хмарний сервіс. Оскільки кампанія не має жодного стосунку до DHL чи будь-якої законної організації, одержувачі повинні розглядати ці повідомлення як шкідливі, уникати будь-якої взаємодії з їхнім вмістом та негайно видаляти їх зі своїх поштових скриньок.