DHL快递商务状态更新邮件诈骗

网络安全研究人员分析了DHL Express Commerce的状态更新邮件，并确定这些邮件是旨在窃取用户登录凭证的网络钓鱼邮件。这些邮件伪装成来自DHL Express Commerce的合法通知，并谎称已向收件人发送了三份文件。

这些邮件通常以“DHL Express Commerce”为主题，并经过精心设计，使其看起来像是来自文档共享平台的通知。为了增加可信度，邮件中会显示一个名为“DHL Express Invoice Payment.docx”的附件。然而，这并非真正的附件，而是一个可点击的元素，旨在诱骗收件人点击邮件中的链接。

根据消息内容，系统检测到已与收件人共享的三个文档，收件人应该可以立即访问这些文档。

伪造文件门户陷阱

这种骗局的关键在于诱骗收件人点击伪造的附件或“查看文档”按钮。无论选择哪个选项，都会将用户引导至同一个欺诈网站。

链接页面托管在谷歌的 Firebase Storage 平台上。虽然 Firebase 是一项合法的云托管服务，但网络犯罪分子经常滥用信誉良好的平台来托管恶意内容，因为此类域名通常看起来很可信，并且可能绕过基本的安全过滤。

访客一旦进入该页面，就会看到一个伪造的DHL Express登录表单，要求输入电子邮件地址和密码。尽管看起来很像，但该页面与DHL没有任何关联。任何输入到表单中的信息都会直接传输给发起此次诈骗活动的骗子。

为什么被盗的凭证如此有价值

登录凭证是网络犯罪分子最梦寐以求的资产之一。许多人会在多个在线账户中使用相同的密码，因此，一旦某一套登录凭证被盗，其价值将非常高昂。

攻击者通过网络钓鱼活动获取登录信息后，通常会在各种服务上测试这些凭证，包括电子邮件平台、购物网站、云存储账户和社交媒体网络。账户被盗用后，可能导致未经授权的购物、身份盗窃、账户被接管、经济损失以及无法访问重要的在线服务。

因此，收件人绝不应在未先验证邮件和目的地合法性的情况下，在通过未经请求的电子邮件访问的网站上输入凭据。

揭露骗局的警告信号

多项指标揭示了这些电子邮件的欺诈性质：

• 该消息声称文件已被意外共享，并鼓励立即互动。
• 显示的“DHL Express Invoice Payment.docx”只是一个可点击的诱饵，而不是真正的附件。
• 这两个可点击的元素都指向同一个登录页面，而不是合法的文档共享服务。
• 该网站要求用户提供电子邮件地址，但它与DHL没有任何合法联系。
• 这种沟通方式试图利用受信任品牌的声誉来赢得收件人的信任。

潜在的恶意软件关联

网络钓鱼活动并非总是局限于窃取凭证。在某些情况下，类似的垃圾邮件也被用于传播恶意软件。

网络犯罪分子通常将恶意文件伪装成发票、发货通知、付款确认、合同或其他常规商业文件。这些有害文件可能以可执行程序、压缩文件、PDF 文档、脚本或包含嵌入式恶意代码的 Microsoft Office 文件的形式传播。

恶意软件感染通常需要用户进行某种形式的交互才能激活。打开恶意附件、启用宏、执行下载的文件或点击欺骗性链接都可能触发感染过程。谨慎处理垃圾邮件可以显著降低感染风险。

如果您收到邮件，该如何回复？

如果这封邮件出现在您的收件箱中，最安全的做法是避免点击邮件中的任何链接、按钮或附件。请立即删除该邮件。已通过虚假登录页面提交过登录凭证的用户应立即更改受影响的密码，并更新所有使用相同凭证的其他账户。尽可能启用多因素身份验证可以提供额外的安全保障，防止未经授权的访问。

最终评估

所谓的“DHL Express Commerce 状态更新”邮件是一种网络钓鱼诈骗，旨在通过冒充 DHL Express Commerce 来窃取登录凭证。虚假的附件和“查看文档”按钮都会将用户重定向到同一个由滥用云服务托管的欺诈性登录页面。由于该诈骗活动与 DHL 或任何合法机构均无关联，收件人应将这些邮件视为恶意邮件，避免与其进行任何互动，并立即将其从收件箱中删除。