DHL快遞商務狀態更新郵件詐騙

網路安全研究人員分析了DHL Express Commerce的狀態更新郵件，並確定這些郵件是旨在竊取使用者登入憑證的網路釣魚郵件。這些郵件偽裝成來自DHL Express Commerce的合法通知，並謊稱已向收件人發送了三份文件。

這些郵件通常以「DHL Express Commerce」為主題，並經過精心設計，使其看起來像是來自文件共享平台的通知。為了增加可信度，郵件中會顯示一個名為「DHL Express Invoice Payment.docx」的附件。然而，這並非真正的附件，而是一個可點擊的元素，旨在誘騙收件人點擊郵件中的連結。

根據訊息內容，系統偵測到已與收件人共用的三個文檔，收件人應該可以立即存取這些文檔。

偽造文件門戶陷阱

這種騙局的關鍵在於誘騙收件人點擊偽造的附件或「查看文件」按鈕。無論選擇哪個選項，都會將使用者引導至同一個詐騙網站。

連結頁面託管在Google的 Firebase Storage 平台上。雖然 Firebase 是一項合法的雲端託管服務，但網路犯罪分子經常濫用信譽良好的平台來託管惡意內容，因為此類網域通常看起來很可信，並且可能繞過基本的安全過濾。

訪客一旦進入該頁面，就會看到一個偽造的DHL Express登入表單，要求輸入電子郵件地址和密碼。儘管看起來很像，但該頁面與DHL沒有任何關聯。任何輸入到表單中的資訊都會直接傳送給發起此詐騙活動的騙子。

為什麼被盜憑證如此有價值

登入憑證是網路犯罪分子最夢寐以求的資產之一。許多人會在多個線上帳戶中使用相同的密碼，因此，一旦某一套登入憑證被盜，價值將非常高。

攻擊者透過網路釣魚活動取得登入資訊後，通常會在各種服務上測試這些憑證，包括電子郵件平台、購物網站、雲端儲存帳戶和社群媒體網路。帳戶被盜用後，可能導致未經授權的購物、身分盜竊、帳戶被接管、經濟損失以及無法存取重要的線上服務。

因此，收件者絕不應在未先驗證郵件和目的地合法性的情況下，在透過未經請求的電子郵件造訪的網站上輸入憑證。

揭露騙局的警訊

多項指標揭示了這些電子郵件的詐欺性質：

• 該訊息聲稱文件已被意外共享，並鼓勵立即互動。
• 顯示的“DHL Express Invoice Payment.docx”只是一個可點擊的誘餌，而不是真正的附件。
• 這兩個可點選的元素都指向同一個登入頁面，而不是合法的文件共用服務。
• 該網站要求用戶提供電子郵件地址，但它與DHL沒有任何合法聯繫。
• 這種溝通方式試圖利用受信任品牌的聲譽來贏得收件人的信任。

潛在的惡意軟體關聯

網路釣魚活動並非總是局限於竊取憑證。在某些情況下，類似的垃圾郵件也被用來傳播惡意軟體。

網路犯罪分子通常將惡意文件偽裝成發票、出貨通知、付款確認、合約或其他常規商業文件。這些有害檔案可能以可執行程式、壓縮檔案、PDF 文件、腳本或包含嵌入式惡意程式碼的 Microsoft Office 檔案的形式傳播。

惡意軟體感染通常需要使用者進行某種形式的互動才能啟動。開啟惡意附件、啟用巨集、執行下載的檔案或點擊欺騙性連結都可能觸發感染過程。謹慎處理垃圾郵件可以顯著降低感染風險。

如果您收到郵件，該如何回覆？

如果這封郵件出現在您的收件匣中，最安全的做法是避免點擊郵件中的任何連結、按鈕或附件。請立即刪除該郵件。已透過虛假登入頁面提交登入憑證的使用者應立即變更受影響的密碼，並更新所有使用相同憑證的其他帳號。盡可能啟用多因素身分驗證可以提供額外的安全保障，防止未經授權的存取。

最終評估

所謂的「DHL Express Commerce 狀態更新」郵件是一種網路釣魚詐騙，旨在透過冒充 DHL Express Commerce 來竊取登入憑證。虛假的附件和「檢視文件」按鈕都會將使用者重新導向到同一個由濫用雲端服務託管的詐騙登入頁面。由於該詐騙活動與 DHL 或任何合法機構均無關聯，收件人應將這些郵件視為惡意郵件，避免與其進行任何互動，並立即將其從收件匣中刪除。