您的订单正在运送途中 邮件诈骗

对于涉及购物、发货或账户活动的意外电子邮件，务必保持警惕。网络犯罪分子经常将恶意邮件伪装成合法的商业通信，试图诱使收件人在未经核实的情况下采取行动。“您的订单正在运送途中”的电子邮件活动就是一个例子。详细分析已证实，这些邮件均为恶意垃圾邮件，与任何合法公司、物流供应商、零售商或组织均无关联。

旨在制造紧迫感的虚假发货通知

“您的订单正在运送途中”的邮件经过精心设计，力求模仿真实的物流发货通知。这些邮件的主题行通常会包含订单号和参考代码，以使邮件看起来可信且专业。

收件人会收到包裹已发出的通知，并被鼓励点击“查看物流详情”按钮以获取追踪信息和配送更新。这种措辞旨在激发收件人的好奇心和紧迫感，从而增加他们在未仔细阅读信息的情况下点击链接的可能性。

事实上，这些邮件与任何真实的购买或发货都无关。它们的唯一目的是将收件人重定向到一个恶意网站，该网站旨在用恶意软件感染系统。

诈骗背后的恶意网站

点击嵌入的链接会将用户重定向到 increminder.com 上的一个欺诈页面。该网站的样式模仿订单管理或物流门户网站，进一步强化了其合法性的假象。

该网页声称发货信息已处理完毕，并表示订单详情可供下载。同时，网页还警告用户可能需要下载该文件才能收到包裹，这是一种旨在迫使访客下载文件的心理战术。

该网站没有提供跟踪信息或订单文档，而是提供了一个名为“ScreenConnect.ClientSetup.msi”的恶意文件。该文件伪装成普通的 Windows 安装程序，但实际上包含一个被植入木马的 ScreenConnect 版本。

植入木马的远程访问软件构成严重风险

ScreenConnect本身是一款由ConnectWise开发的合法远程桌面软件，通常被IT支持专业人员用于远程协助和系统管理。然而，网络犯罪分子经常滥用此类工具，通过修改和传播恶意版本，非法远程访问受害者的设备。

恶意安装程序一旦执行，远程访问工具即可在后台静默运行而不引起注意。攻击者随后可获得对受感染系统的全面控制权，并执行各种恶意活动，包括：

• 窃取机密文件和存储的凭证
• 监控用户活动并收集敏感信息
• 安装其他恶意软件，例如勒索软件或间谍软件
• 进行欺诈交易或滥用在线账户

由于该恶意软件提供持续的远程访问权限，因此应认为受影响的系统已完全被攻陷。

恶意垃圾邮件活动如何传播恶意软件

垃圾邮件活动经常通过恶意附件或指向有害网站的链接传播恶意软件。在许多情况下，这些文件伪装成发票、收据、货运单据或账户对账单，诱使收件人在不知情的情况下打开它们。

在此次攻击活动中，攻击者使用恶意链接而非直接附件。点击链接的用户会被引导至虚假的订单网站，并被诱骗下载感染的安装程序文件。一旦启动，恶意软件便会建立远程访问权限，而受害者却几乎察觉不到。

由于有害有效载荷托管在外部而不是直接附加到电子邮件中，因此攻击者可以利用这种方法绕过一些电子邮件安全过滤器。

受影响用户的立即措施

任何下载或运行过“ScreenConnect.ClientSetup.msi”安装程序的用户都应假定系统可能已被未经授权访问。强烈建议立即采取行动，以最大程度地减少潜在损失。

应立即对受影响设备进行全面的防病毒或反恶意软件扫描，并从单独的安全系统中更改所有敏感密码。同时，应监控金融账户、电子邮件账户和企业登录账户，以发现可疑活动。

恶意邮件本身应立即删除，收件人应避免点击邮件中的任何链接或下载任何相关文件。

如何防范与外卖相关的诈骗

以快递为主题的网络钓鱼和恶意软件攻击仍然非常有效，因为它们利用了人们常见的网购习惯以及对包裹状态更新的预期。攻击者正是利用收件人在仔细评估信息真伪之前就迅速做出反应这一弱点。

用户可以通过以下方式降低面临这些威胁的风险：直接通过零售商或快递公司的官方网站核实发货通知；避免下载未经请求的电子邮件；对意外的送货提醒保持警惕。即使是那些看起来专业精美的电子邮件，也可能在看似可信的品牌宣传和紧急措辞下隐藏着严重的安全威胁。