Необхідне повторне підтвердження права власності на домен. Шахрайство електронною поштою.

До неочікуваних електронних листів, які вимагають термінових дій, завжди слід ставитися з обережністю. Кіберзлочинці часто видають себе за довірені організації та регуляторні органи, щоб створити хибне відчуття терміновості та змусити одержувачів приймати поспішні рішення. Електронні листи «Потрібне повторне підтвердження права власності на домен» є яскравим прикладом цієї тактики. Дослідники безпеки ідентифікували ці повідомлення як частину фішингової кампанії, спрямованої на крадіжку облікових даних електронної пошти. Важливо, що ці електронні листи не пов’язані з жодною законною компанією, організацією, реєстратором доменів чи регуляторним органом.

Замасковано під офіційне повідомлення про відповідність вимогам

Шахрайські електронні листи написані так, щоб імітувати офіційні повідомлення про дотримання вимог щодо домену. Одержувачам повідомляють, що право власності на їхній домен не було підтверджено протягом останніх 90 днів, і що необхідно вжити заходів для дотримання ймовірних правил. У повідомленнях міститься посилання на «Положення ICANN 3.18» та попередження, що невиконання процесу перевірки призведе до призупинення вхідної та вихідної електронної пошти протягом семи днів.

Мова, що використовується в електронному листі, має на меті викликати занепокоєння та викликати терміновість. Погрожуючи перебоями в обслуговуванні, шахраї намагаються переконати одержувачів діяти негайно, не перевіряючи справжність повідомлення.

Процес фальшивої перепідтвердження

У центрі шахрайства знаходиться кнопка, яка зазвичай має напис «Повторно перевірити домен зараз». Натискання цієї кнопки перенаправляє користувачів на шахрайську сторінку входу до веб-пошти, масковану під легітимний портал поштової служби.

Фішингова сторінка імітує екран входу до Roundcube Webmail та розміщена на платформі Firebase Storage від Google. Щоб сторінка виглядала переконливішою, адреса електронної пошти жертви може бути вже заповнена автоматично. Потім користувачам пропонується ввести свій пароль, щоб продовжити нібито процес перевірки.

Насправді, сторінка служить лише одній меті: збору облікових даних для входу та їх передачі безпосередньо зловмисникам.

Що відбувається, коли крадуть посвідчення?

Скомпрометовані облікові записи електронної пошти можуть надати кіберзлочинцям доступ до значної кількості особистої та бізнес-інформації. Оскільки облікові записи електронної пошти часто пов’язані з численними онлайн-сервісами, зловмисники можуть використовувати викрадені облікові дані для подальшого розширення свого доступу.

Після отримання контролю над обліковим записом електронної пошти злочинці можуть:

• Читайте конфіденційні повідомлення та чутливі повідомлення.
• Скинути паролі для пов’язаних онлайн-акаунтів.

Оскільки облікові записи електронної пошти часто слугують основним методом відновлення для інших служб, одна скомпрометована поштова скринька може призвести до захоплення кількох облікових записів.

Чому твердження хибні

Кілька ознак викривають шахрайський характер цих електронних листів. У повідомленнях намагаються використати авторитет Інтернет-корпорації з присвоєння імен та номерів, широко відомої як ICANN, шляхом хибного припущення, що повторна перевірка домену здійснюється за допомогою прямих сповіщень електронною поштою.

Насправді, ICANN не зв’язується з окремими користувачами через небажані повідомлення з вимогою повторної перевірки домену. Крім того, жоден законний орган управління доменами чи авторитетний постачальник послуг не вимагає від користувачів перевірки облікових даних для входу за посиланням, вбудованим у неочікуваний електронний лист.

Ім'я відправника, яке часто відображається в цих повідомленнях, «Глобальний центр перевірки доменів», не має визнаного зв'язку з ICANN, акредитованими реєстраторами чи будь-якою легітимною організацією з управління доменами. Весь цей сценарій сфабрикований для створення довіри та обману одержувачів.

Ширша загроза, що виходить за межі крадіжки облікових даних

Хоча основною метою цієї кампанії є збір облікових даних, подібні шахрайські електронні листи часто використовуються також для розповсюдження шкідливого програмного забезпечення. Зловмисники зазвичай використовують атаки на основі електронної пошти для доставки шкідливого програмного забезпечення потенційним жертвам.

Електронні листи, пов’язані зі шкідливим програмним забезпеченням, можуть містити заражені вкладення або посилання, що ведуть на шкідливі веб-сайти. До поширених типів файлів, що використовуються в цих атаках, належать виконувані файли, PDF-документи, архіви, такі як ZIP- або RAR-файли, скрипти та документи Office, що містять шкідливий код. У деяких випадках користувачам пропонується ввімкнути макроси або інші функції, які запускають процес зараження.

Більшість випадків зараження шкідливим програмним забезпеченням, що поширюється через електронну пошту, вимагають певного рівня взаємодії з користувачем, як-от відкриття вкладення, запуск завантаженого файлу, натискання на шкідливе посилання або ввімкнення вбудованого вмісту. Саме тому обережність та перевірка залишаються критично важливими під час обробки неочікуваних повідомлень.

Як відповісти на ці електронні листи

Одержувачам, які отримали електронний лист «Потрібне повторне підтвердження права власності на домен», слід уникати будь-якої взаємодії з повідомленням. Не слід натискати на посилання, не слід відкривати вкладення, а особисту інформацію ніколи не слід надсилати через сторінки, на які перейшли з небажаних електронних листів.

Найбезпечніший варіант дій – негайно видалити електронний лист. Особи, які вже ввели свої облікові дані на фішинговій сторінці, повинні негайно змінити пароль електронної пошти, оновити паролі для всіх облікових записів, які можуть використовувати ті самі облікові дані, та ввімкнути багатофакторну автентифікацію, де це можливо.

Заключні думки

Кампанія електронної пошти «Потрібне повторне підтвердження права власності на домен» – це фішингова афера, маскована під повідомлення про дотримання вимог ICANN. Її мета – обманом змусити одержувачів відмовитися від своїх облікових даних електронної пошти через шахрайську сторінку входу до веб-пошти. Повідомлення базуються на страху, терміновості та неправдивих заявах регуляторних органів, щоб маніпулювати жертвами та змусити їх діяти без належної перевірки.

Розуміння того, як працюють ці шахрайські схеми, є важливим для захисту конфіденційної інформації. Скептично ставлячись до неочікуваних запитів, перевіряючи заяви через офіційні канали та уникаючи посилань, що містяться в небажаних електронних листах, користувачі можуть значно зменшити ризик стати жертвами крадіжки облікових даних та інших кіберзагроз.