Lừa đảo qua email cập nhật trạng thái giao dịch DHL Express Commerce.

Các nhà nghiên cứu an ninh mạng đã phân tích các email cập nhật trạng thái của DHL Express Commerce và xác định rằng chúng là các tin nhắn lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của người dùng. Các email này giả mạo các thông báo hợp lệ từ DHL Express Commerce và thông báo sai cho người nhận rằng ba tài liệu đã được chia sẻ với họ.

Các tin nhắn này thường có tiêu đề "DHL Express Commerce" và được soạn thảo cẩn thận để giống với thông báo từ một nền tảng chia sẻ tài liệu. Để tăng độ tin cậy, email hiển thị một dòng trông giống như tệp đính kèm có tên "DHL Express Invoice Payment.docx". Tuy nhiên, đây không phải là tệp đính kèm thực sự. Thay vào đó, nó là một yếu tố có thể nhấp chuột được tạo ra để đánh lừa người nhận tương tác với email.

Theo nội dung tin nhắn, hệ thống đã phát hiện ba tài liệu được chia sẻ với người nhận và có thể truy cập ngay lập tức.

Cạm bẫy cổng thông tin tài liệu giả mạo

Chiêu trò lừa đảo này dựa trên việc thuyết phục người nhận nhấp vào tệp đính kèm giả mạo hoặc nút "Xem tài liệu". Bất kể người dùng chọn tùy chọn nào, cả hai đều dẫn người dùng đến cùng một trang web lừa đảo.

Trang được liên kết được lưu trữ trên nền tảng Firebase Storage của Google. Mặc dù Firebase là một dịch vụ lưu trữ đám mây hợp pháp, nhưng tội phạm mạng thường xuyên lợi dụng các nền tảng uy tín để lưu trữ nội dung độc hại vì các tên miền như vậy thường trông đáng tin cậy và có thể vượt qua các bộ lọc bảo mật cơ bản.

Khi khách truy cập vào trang này, họ sẽ thấy một biểu mẫu đăng nhập giả mạo của DHL Express yêu cầu địa chỉ email và mật khẩu. Mặc dù trông giống như vậy, trang này không có liên hệ gì với DHL. Bất kỳ thông tin đăng nhập nào được nhập vào biểu mẫu đều được chuyển trực tiếp đến những kẻ lừa đảo đang thực hiện chiến dịch này.

Vì sao thông tin đăng nhập bị đánh cắp lại có giá trị đến vậy?

Thông tin đăng nhập là một trong những tài sản được tội phạm mạng săn đón nhất. Nhiều người sử dụng lại cùng một mật khẩu cho nhiều tài khoản trực tuyến khác nhau, khiến cho một bộ thông tin đăng nhập bị đánh cắp trở nên vô cùng giá trị.

Khi tin tặc thu thập thông tin đăng nhập thông qua các chiến dịch lừa đảo (phishing), chúng thường kiểm tra thông tin đăng nhập đó trên nhiều dịch vụ khác nhau, bao gồm các nền tảng email, trang web mua sắm, tài khoản lưu trữ đám mây và mạng xã hội. Việc chiếm đoạt tài khoản thành công có thể dẫn đến các giao dịch mua hàng trái phép, đánh cắp danh tính, chiếm đoạt tài khoản, thiệt hại tài chính và mất quyền truy cập vào các dịch vụ trực tuyến quan trọng.

Vì lý do này, người nhận tuyệt đối không nên nhập thông tin đăng nhập vào các trang web được truy cập thông qua email không mong muốn mà không xác minh trước tính hợp pháp của tin nhắn và địa chỉ người nhận.

Những dấu hiệu cảnh báo cho thấy đó là một vụ lừa đảo.

Một số dấu hiệu cho thấy bản chất lừa đảo của những email này:

• Thông báo cho biết các tài liệu đã được chia sẻ một cách bất ngờ và khuyến khích tương tác ngay lập tức.
• Tệp 'DHL Express Invoice Payment.docx' được hiển thị chỉ là một liên kết thu hút người dùng nhấp chuột chứ không phải là tệp đính kèm thực sự.
• Cả hai phần tử có thể nhấp chuột đều dẫn đến cùng một trang đăng nhập thay vì một dịch vụ chia sẻ tài liệu hợp pháp.
• Trang web yêu cầu thông tin đăng nhập email mặc dù không có bất kỳ mối liên hệ hợp pháp nào với DHL.
• Hình thức truyền thông này cố gắng tận dụng uy tín của một thương hiệu đáng tin cậy để tạo dựng lòng tin của người nhận.

Mối liên hệ tiềm tàng với phần mềm độc hại

Các chiến dịch lừa đảo qua email không chỉ giới hạn ở việc đánh cắp thông tin đăng nhập. Trong một số trường hợp, các email spam tương tự cũng được sử dụng để phát tán phần mềm độc hại.

Tội phạm mạng thường ngụy trang các tập tin độc hại dưới dạng hóa đơn, thông báo vận chuyển, xác nhận thanh toán, hợp đồng hoặc các tài liệu kinh doanh thông thường khác. Các tập tin độc hại này có thể được phân phối dưới dạng chương trình thực thi, tệp lưu trữ nén, tài liệu PDF, tập lệnh hoặc tệp Microsoft Office chứa mã độc hại được nhúng.

Việc lây nhiễm thường đòi hỏi một số tương tác từ người dùng trước khi phần mềm độc hại được kích hoạt. Mở tệp đính kèm độc hại, bật macro, chạy tệp đã tải xuống hoặc nhấp vào liên kết lừa đảo đều có thể kích hoạt quá trình xâm nhập. Cẩn trọng khi xử lý email không mong muốn sẽ làm giảm đáng kể khả năng bị lây nhiễm.

Cách phản hồi nếu bạn nhận được email này

Nếu nhận được email này, cách an toàn nhất là tránh tương tác với bất kỳ liên kết, nút hoặc tệp đính kèm nào trong đó. Nên xóa tin nhắn ngay lập tức. Những người đã nhập thông tin đăng nhập của mình qua trang đăng nhập giả mạo nên thay đổi mật khẩu ngay lập tức và cập nhật bất kỳ tài khoản nào khác sử dụng cùng thông tin đăng nhập đó. Kích hoạt xác thực đa yếu tố bất cứ khi nào có thể sẽ cung cấp thêm một lớp bảo vệ chống lại truy cập trái phép.

Đánh giá cuối kỳ

Email cập nhật trạng thái DHL Express Commerce là một trò lừa đảo giả mạo nhằm thu thập thông tin đăng nhập bằng cách mạo danh DHL Express Commerce. Dòng đính kèm giả mạo và nút "Xem tài liệu" đều chuyển hướng người dùng đến cùng một trang đăng nhập giả mạo được lưu trữ thông qua một dịch vụ đám mây bị lạm dụng. Vì chiến dịch này không có liên hệ gì với DHL hoặc bất kỳ tổ chức hợp pháp nào, người nhận nên coi những tin nhắn này là độc hại, tránh mọi tương tác với nội dung của chúng và xóa chúng khỏi hộp thư đến ngay lập tức.