Зміна електронної пошти для відновлення. Шахрайство з електронною поштою.
Пильність є надзвичайно важливою при роботі з неочікуваними електронними листами, особливо тими, які стверджують про проблему з онлайн-акаунтом. Кіберзлочинці часто видають себе за надійні служби, щоб створити відчуття терміновості та змусити одержувачів діяти, не перевіряючи легітимність повідомлення. Електронний лист із назвою «Електронна адреса для відновлення була змінена» – це одна з таких фішингових схем, розроблених для крадіжки конфіденційних облікових даних для входу. Важливо, що ці електронні листи не пов’язані з жодною законною компанією, організацією, постачальником послуг електронної пошти чи веб-службою пошти.
Зміст
Шахрайство зі зміною електронної адреси для відновлення: огляд
Кампанія електронною поштою «Змінено електронну адресу для відновлення» маскується під сповіщення безпеки від постачальника веб-пошти. Її основна мета — переконати одержувачів, що безпеку їхнього облікового запису було порушено, і що потрібні негайні дії.
Зазвичай електронний лист надходить із темою «Ризик безпеки: дані для відновлення змінено» та повідомляє одержувача про те, що адресу електронної пошти для відновлення, пов’язану з його обліковим записом, нещодавно було змінено. Щоб сповіщення виглядало справжнім, повідомлення містить помітну кнопку «Перевірити активність» та стверджує, що воно походить від компанії під назвою «Webmail LLC».
Незважаючи на переконливий вигляд, все сповіщення є шахрайським. Назва організації, брендинг та попередження безпеки були вигадані виключно для того, щоб обманом змусити одержувачів розкрити свої облікові дані.
Як працює шахрайство
Атака спирається на методи соціальної інженерії, що використовують страх і терміновість. Одержувачів змушують повірити, що до їхнього облікового запису було внесено несанкціоновані зміни, що спонукає їх натиснути надану кнопку, щоб розслідувати ймовірний інцидент безпеки.
Замість того, щоб спрямувати користувачів на легітимний портал входу, посилання веде на оманливу веб-сторінку, розміщену на eu2.contabostorage.com, хмарній платформі зберігання даних, яка використовується для розповсюдження фішингового контенту. На сторінці відображається підроблена форма входу, розміщена поверх реалістичного інтерфейсу Gmail або іншого дизайну, оформленого в стилі постачальника електронної пошти.
Дані свідчать про те, що фішингова сторінка може динамічно адаптувати свій зовнішній вигляд на основі адреси електронної пошти одержувача. URL-адреса, схоже, містить закодовану інформацію про ціль, що дозволяє сторінці відображати брендинг, який відповідає постачальнику електронної пошти жертви, тим самим підвищуючи її довіру.
Справжня небезпека фальшивої сторінки входу
Шахрайська сторінка запитує адресу електронної пошти та пароль відвідувача під приводом підтвердження права власності на обліковий запис. Будь-яка інформація, введена у форму, передається безпосередньо шахраям.
Щойно кіберзлочинці отримують доступ до облікового запису електронної пошти, наслідки можуть бути серйозними. Облікові записи електронної пошти часто слугують шлюзами до численних онлайн-сервісів, що робить їх дуже цінними цілями. Зловмисники можуть використовувати скомпрометовані облікові записи для:
- Скидання паролів для пов’язаних сервісів та облікових записів соціальних мереж
- Крадіжка особистої інформації, фінансових даних та конфіденційних повідомлень
- Здійснення схем крадіжки особистих даних та видання себе за іншу особу
- Надсилайте фішингові електронні листи друзям, членам родини та діловим контактам
- Отримайте доступ до хмарного сховища, банківських платформ або інших підключених облікових записів
Оскільки облікові записи електронної пошти часто містять багаторічне особисте та професійне листування, успішне компрометування може призвести до значної шкоди конфіденційності та фінансових збитків.
Хибний брендинг та оманливі твердження
Одним із найпомітніших аспектів цієї кампанії є зловживання впізнаваним брендингом, пов’язаним із веб-поштою. Електронний лист намагається створити легітимність, представляючи себе як офіційне сповіщення безпеки від надійного постачальника.
Однак ні Google, ні Google, ні Gmail не мають жодного стосунку до цієї кампанії. Так само нібито відправник «Webmail LLC» – це лише вигадана особа, створена для підтримки шахрайства. Законні постачальники послуг електронної пошти не використовують оманливі сторінки входу третіх сторін для перевірки активності облікового запису після сповіщень безпеки.
Потенційні ризики шкідливого програмного забезпечення
Хоча основною метою цієї кампанії є крадіжка облікових даних, фішингові операції часто пов'язані також з розповсюдженням шкідливого програмного забезпечення. Кіберзлочинці зазвичай використовують шахрайські електронні листи для поширення шкідливого програмного забезпечення через вкладення або шкідливі посилання.
Шкідливе програмне забезпечення може бути приховано у виконуваних файлах, PDF-документах, файлах Microsoft Office, стиснутих архівах, скриптах або інших форматах файлів. У багатьох випадках процес зараження починається лише після того, як жертва відкриває вкладення, активує шкідливі макроси або завантажує та виконує файл із пов’язаного веб-сайту.
Деякі фішингові сторінки можуть навіть заохочувати відвідувачів встановлювати програмне забезпечення, яке нібито необхідне для перевірки або цілей безпеки. Дотримання таких інструкцій може призвести до зараження шкідливим програмним забезпеченням, яке ще більше поставить під загрозу пристрій і дані жертви.
Попереджувальні ознаки, що виявляють шахрайство
Кілька ознак виявляють шахрайський характер електронного листа «Змінено електронну адресу для відновлення». Повідомлення створює зайву терміновість, стверджує про критичні зміни в обліковому записі та перенаправляє користувачів на незнайомий зовнішній веб-сайт замість офіційного порталу керування обліковими записами. Крім того, використання вигаданої назви компанії та сторінки входу, розміщеної на хмарному сховищі, а не на офіційному домені, є серйозними тривожними сигналами.
Користувачам слід завжди перевіряти сповіщення безпеки, відкриваючи веб-сайт свого постачальника електронної пошти безпосередньо через браузер, а не натискаючи посилання, що містяться в неочікуваних електронних листах.
Як захистити себе
Якщо такий електронний лист отримано, його слід ігнорувати та видалити. Одержувачам слід уникати натискання будь-яких посилань, відкриття вкладень або введення облікових даних на веб-сайтах, на які потрапили через небажані повідомлення. Будь-хто, хто вже надав свою інформацію для входу, повинен негайно змінити пароль, увімкнути багатофакторну автентифікацію, де це можливо, та перевірити активність облікового запису на наявність ознак несанкціонованого доступу.
Заключні думки
Електронний лист «Змінено електронну адресу для відновлення» – це фішингова шахрайська схема, замаскована під сповіщення безпеки веб-пошти. Неправдиво стверджуючи, що електронну адресу для відновлення було змінено, зловмисники намагаються заманити одержувачів на підроблену сторінку входу, де їхні облікові дані можуть бути викрадені. Оскільки кампанія не має жодного зв’язку з жодним законним постачальником послуг електронної пошти, найбезпечнішою відповіддю є повне уникнення взаємодії з повідомленням і перевірка безпеки облікового запису лише через офіційні канали.
System Messages
The following system messages may be associated with Зміна електронної пошти для відновлення. Шахрайство з електронною поштою.:
Subject: Security Risk: Recovery details changed. |
