Email lừa đảo "Đơn hàng của bạn đang trên đường"

Những email bất ngờ liên quan đến mua hàng, giao hàng hoặc hoạt động tài khoản luôn cần được xử lý thận trọng. Tội phạm mạng thường ngụy trang các tin nhắn độc hại thành các thông báo kinh doanh hợp pháp nhằm gây áp lực buộc người nhận phải hành động mà không cần xác minh. Chiến dịch email "Đơn hàng của bạn đang trên đường" là một ví dụ điển hình. Phân tích chi tiết đã xác nhận rằng những email này là thư rác độc hại và không liên quan đến bất kỳ công ty, nhà cung cấp dịch vụ vận chuyển, nhà bán lẻ hoặc tổ chức hợp pháp nào.

Thông báo vận chuyển giả mạo được thiết kế để tạo cảm giác khẩn cấp.

Các email "Đơn hàng của bạn đang trên đường vận chuyển" được soạn thảo để trông giống như thông báo vận chuyển thực tế. Chúng thường có tiêu đề chứa số đơn hàng và mã tham chiếu để tạo cảm giác đáng tin cậy và chuyên nghiệp.

Người nhận được thông báo rằng gói hàng của họ được cho là đã được gửi đi và được khuyến khích nhấp vào nút "Xem chi tiết vận chuyển" để truy cập thông tin theo dõi và cập nhật tình trạng giao hàng. Cách diễn đạt này được thiết kế có chủ ý để khơi gợi sự tò mò và tính cấp bách, làm tăng khả năng người nhận sẽ tương tác với liên kết được cung cấp mà không kiểm tra kỹ nội dung tin nhắn.

Trên thực tế, những email này không liên quan đến bất kỳ giao dịch mua bán hay vận chuyển thực sự nào. Mục đích duy nhất của chúng là chuyển hướng người nhận đến một trang web độc hại được thiết kế để lây nhiễm phần mềm độc hại vào hệ thống.

Trang web độc hại đứng sau vụ lừa đảo

Việc nhấp vào liên kết được nhúng sẽ chuyển hướng người dùng đến một trang web giả mạo được lưu trữ trên increminder.com. Trang web này được thiết kế giống như một cổng quản lý đơn hàng hoặc vận chuyển, càng củng cố thêm ảo tưởng về tính hợp pháp.

Trang web này khẳng định thông tin vận chuyển đã được xử lý và cho biết chi tiết đơn hàng có thể tải xuống. Trang web cũng cảnh báo rằng việc tải xuống tệp có thể là điều kiện bắt buộc để nhận được gói hàng, một chiến thuật tâm lý nhằm gây áp lực buộc khách truy cập phải tiếp tục tải xuống.

Thay vì cung cấp thông tin theo dõi đơn hàng hoặc tài liệu đặt hàng, trang web này lại cung cấp một tập tin độc hại có tên 'ScreenConnect.ClientSetup.msi'. Tập tin này được hiển thị như một trình cài đặt Windows thông thường nhưng thực chất lại chứa một phiên bản ScreenConnect bị nhiễm mã độc Trojan.

Phần mềm truy cập từ xa bị nhiễm mã độc Trojan tiềm ẩn những rủi ro nghiêm trọng.

ScreenConnect là phần mềm điều khiển máy tính từ xa hợp pháp được phát triển bởi ConnectWise và thường được các chuyên gia hỗ trợ CNTT sử dụng để hỗ trợ từ xa và quản lý hệ thống. Tuy nhiên, tội phạm mạng thường xuyên lạm dụng các công cụ này bằng cách sửa đổi chúng và phát tán các phiên bản độc hại có khả năng cấp quyền truy cập từ xa trái phép vào thiết bị của nạn nhân.

Sau khi trình cài đặt độc hại được thực thi, công cụ truy cập từ xa có thể hoạt động âm thầm trong nền mà không gây chú ý. Kẻ tấn công sau đó có thể giành quyền kiểm soát rộng rãi đối với hệ thống bị xâm nhập và thực hiện nhiều hoạt động độc hại, bao gồm:

• Đánh cắp các tập tin bí mật và thông tin đăng nhập đã lưu trữ
• Theo dõi hoạt động của người dùng và thu thập thông tin nhạy cảm.
• Cài đặt thêm phần mềm độc hại như ransomware hoặc spyware
• Thực hiện các giao dịch gian lận hoặc lạm dụng tài khoản trực tuyến

Vì phần mềm độc hại này cung cấp khả năng truy cập từ xa liên tục, nên các hệ thống bị ảnh hưởng cần được coi là đã bị xâm phạm hoàn toàn.

Các chiến dịch gửi thư rác độc hại phát tán phần mềm độc hại như thế nào?

Các chiến dịch gửi thư rác thường phát tán phần mềm độc hại thông qua các tệp đính kèm độc hại hoặc các liên kết dẫn đến các trang web nguy hiểm. Trong nhiều trường hợp, các tệp này được ngụy trang dưới dạng hóa đơn, biên lai, chứng từ vận chuyển hoặc sao kê tài khoản để khuyến khích người nhận mở chúng mà không nghi ngờ.

Trong chiến dịch này, kẻ tấn công dựa vào một liên kết độc hại thay vì tệp đính kèm trực tiếp. Người nhận khi nhấp vào liên kết sẽ được dẫn đến một cổng đặt hàng giả mạo, nơi họ bị lừa tải xuống tệp cài đặt bị nhiễm virus. Sau khi khởi chạy, phần mềm độc hại thiết lập khả năng truy cập từ xa trong khi hầu như không bị nạn nhân phát hiện.

Phương pháp này cho phép kẻ tấn công vượt qua một số bộ lọc bảo mật email, vì phần mềm độc hại được lưu trữ bên ngoài chứ không phải đính kèm trực tiếp vào email.

Các bước cần thực hiện ngay lập tức đối với người dùng bị ảnh hưởng

Bất kỳ ai đã tải xuống hoặc chạy trình cài đặt 'ScreenConnect.ClientSetup.msi' nên giả định rằng hệ thống có thể đã bị truy cập trái phép. Cần hành động ngay lập tức để giảm thiểu thiệt hại tiềm tàng.

Cần tiến hành quét toàn diện bằng phần mềm diệt virus hoặc chống phần mềm độc hại ngay lập tức, và thay đổi tất cả mật khẩu nhạy cảm liên quan đến thiết bị bị ảnh hưởng từ một hệ thống riêng biệt, an toàn. Các tài khoản tài chính, tài khoản email và thông tin đăng nhập doanh nghiệp cũng cần được theo dõi để phát hiện hoạt động đáng ngờ.

Bạn nên xóa ngay lập tức email độc hại đó, và người nhận nên tránh nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp nào liên quan đến tin nhắn.

Bảo vệ bản thân khỏi các chiêu trò lừa đảo liên quan đến giao hàng

Các chiến dịch lừa đảo và phần mềm độc hại giả mạo chủ đề giao hàng vẫn rất hiệu quả vì chúng khai thác thói quen mua sắm trực tuyến phổ biến và sự kỳ vọng về thông tin cập nhật gói hàng. Kẻ tấn công dựa vào việc người nhận phản hồi nhanh chóng trước khi đánh giá kỹ lưỡng tính xác thực của tin nhắn.

Người dùng có thể giảm thiểu nguy cơ bị tấn công bằng cách xác minh thông báo vận chuyển trực tiếp qua trang web chính thức của nhà bán lẻ hoặc công ty chuyển phát, tránh tải xuống từ email không mong muốn và cảnh giác với các thông báo giao hàng bất ngờ. Ngay cả những email trông có vẻ chuyên nghiệp và trau chuốt cũng có thể che giấu các mối đe dọa bảo mật nghiêm trọng dưới thương hiệu thuyết phục và ngôn ngữ khẩn cấp.