Шахрайство з електронною поштою щодо безпечного документа для перевірки

У сучасному світі загроз важливо залишатися обережним з неочікуваними електронними листами. Кіберзлочинці регулярно маскують фішингові повідомлення під легітимні ділові комунікації, щоб обманом змусити одержувачів розкрити конфіденційну інформацію. Електронний лист «Захисний документ для перегляду» є одним із таких прикладів. Незважаючи на свій професійний вигляд, ця кампанія не пов’язана з жодною легітимною компанією, організацією, платформою обміну документами чи постачальником послуг електронної пошти. Її єдина мета — викрасти облікові дані електронної пошти у нічого не підозрюючих користувачів.

За обманом «Захищений документ для перегляду»

Поглиблений аналіз електронних листів «Захищений документ для перегляду» підтвердив, що це фішингові повідомлення, призначені для збору облікових даних для входу. Електронні листи маскуються під сповіщення про безпечний обмін документами та стверджують, що для перегляду одержувачем підготовлено конфіденційний файл контракту під назвою «Contract_Agreement_0035040_ACH_Payment.pdf».

Щоб створити відчуття терміновості, у повідомленні зазначено, що посилання на документ буде дійсне протягом 72 годин. Зворотний відлік представлено як функція безпеки, що заохочує одержувачів діяти швидко, не ретельно оцінюючи справжність електронного листа.

Ще одна тактика, яка використовується в цих повідомленнях, полягає в тому, щоб вказати одержувачам перемістити електронний лист до своєї папки "Вхідні", якщо його було відфільтровано як спам. Ця спроба здаватися надійним має на меті зменшити підозри та збільшити ймовірність того, що жертва взаємодіятиме з контентом.

Портал підроблених захищених документів

Електронний лист містить кнопку або посилання з написом «Відкрити документ безпечно». Замість того, щоб вести на законний сервіс обміну документами, посилання перенаправляє користувачів на шахрайський веб-сайт, розміщений на esnad-fls(крапка)com.

Вебсайт хибно представляє себе як безпечний портал автентифікації електронної пошти. У багатьох випадках він відображає фальшиву сторінку входу, яка дуже точно імітує зовнішній вигляд інтерфейсу входу Google і може бути позначена як «Захищений портал Gmail». Відвідувачам пропонується ввести свою адресу електронної пошти та пароль для доступу до нібито документа.

Дослідники помітили, що фішингова сторінка може динамічно змінювати свій зовнішній вигляд залежно від постачальника послуг електронної пошти одержувача. Користувачі Gmail можуть бачити сторінку входу в стилі Google, тоді як користувачі інших поштових служб можуть бачити інтерфейси, розроблені так, щоб імітувати їхні відповідні постачальники. Таке налаштування допомагає зробити шахрайство більш переконливим.

Що відбувається після введення облікових даних?

Будь-яка інформація, надана через шахрайську форму входу, передається безпосередньо шахраям. Щойно зловмисники отримують доступ до облікового запису електронної пошти, вони можуть використовувати його кількома способами:

• Отримайте доступ до конфіденційних електронних листів та збереженої особистої інформації.

Важливо наголосити, що Google не має жодного стосунку до цієї операції, а веб-сайт, який використовувався в шахрайстві, не пов'язаний з жодним легітимним сервісом електронної пошти чи платформою для обміну документами.

Попереджувальні ознаки, що виявляють шахрайство

Кілька ознак виявляють шахрайський характер цих електронних листів. Повідомлення створює зайву терміновість через сповіщення про закінчення терміну дії документа, вимагає дій через незнайоме зовнішнє посилання та перенаправляє одержувачів на сторінку входу, не пов’язану з жодним законним сервісом. Вимога вводити облікові дані електронної пошти лише для перегляду спільного документа є ще одним серйозним тривожним сигналом.

Користувачам слід завжди перевіряти відправника, ретельно перевіряти посилання перед натисканням та з підозрою ставитися до небажаних сповіщень про спільний доступ до документів, особливо коли вони вимагають негайних дій.

Більше, ніж крадіжка облікових даних: ризик шкідливого програмного забезпечення

Хоча ця конкретна кампанія зосереджена на крадіжці облікових даних для входу, подібні шахрайські електронні листи часто використовуються для розповсюдження шкідливого програмного забезпечення. Кіберзлочинці часто розповсюджують шкідливе програмне забезпечення через спам-листи, що містять заражені вкладення або посилання на шкідливі вебсайти.

До поширених типів шкідливих файлів належать виконувані програми, стиснуті архіви, PDF-файли та документи Microsoft Office. У деяких випадках відкриття файлу може спровокувати виконання шкідливого коду. В інших випадках одержувачам може бути запропоновано ввімкнути макроси або завантажити додатковий вміст, що ініціює процес зараження.

Посилання, вбудовані у фішингові електронні листи, також можуть перенаправляти користувачів на веб-сайти, які автоматично завантажують шкідливе програмне забезпечення, або спонукати їх запускати небезпечні файли вручну.

Як відповісти на ці електронні листи

Якщо у поштову скриньку надходить електронний лист із запитом «Захисний документ для перегляду», найбезпечніший спосіб дій простий:

• Не натискайте жодних посилань чи кнопок, що містяться в повідомленні.
• Не вводьте облікові дані для входу на жодній сторінці, на яку ви потрапили через електронний лист.
• Видаліть електронний лист і, якщо можливо, позначте його як фішинг або спам.
• Негайно змініть паролі облікових записів, якщо облікові дані вже були надіслані.

Заключна оцінка

Електронний лист «Захищений документ для перегляду» – це фішингова шахрайська схема, замаскована під сповіщення про обмін документами. У ньому неправдиво стверджується, що конфіденційний контрактний документ очікує на перегляд, і одержувачів перенаправляє на підроблену сторінку входу, розміщену на esnad-fls(крапка)com. Мета полягає у викраденні облікових даних електронної пошти, які потім можна використовувати для захоплення облікового запису, крадіжки особистих даних та іншої кіберзлочинної діяльності. Одержувачам слід уникати взаємодії з електронним листом, утримуватися від натискання будь-яких посилань та негайно видалити повідомлення.