Вирус в курьерской доставке - прямо от киберпреступников

  1. Поле от
  2. Предметное поле
  3. Графический дизайн
  4. Распределение текста
  5. Как вы можете изменить текст
  6. Ложные страницы
  7. Мошеннические письма на разных языках

Известные компании и бренды являются любимыми целями для мошенников. Поскольку привлекать внимание с помощью популярного имени гораздо проще, у мошенников больше шансов «поймать» наивного пользователя.

В этой статье мы проанализируем фишинговые и злонамеренные электронные письма, отправленные мошенниками, которые предположительно пришли из международных курьерских компаний. Наиболее популярными среди них являются DHL (Германия), FedEx и United Parcel Service (США) и TNT (Нидерланды). Все эти компании работают в международном масштабе, имеют миллионы клиентов и филиалы в городах по всему миру. Они предоставляют аналогичные услуги, поэтому мошенники используют те же методы и методы в своих мошеннических сообщениях.

Фишеры преследуют следующие цели:

  1. Кража конфиденциальных данных (реквизиты банковской карты, логины и пароли из личных учетных записей), в основном через поддельные сайты, выдающие себя за официальные сайты. В результате фишинг-атаки пользователи пересылают свои личные данные мошенникам, заполняя поля на поддельных сайтах или отправляя их по электронной почте.
  2. Установка вредоносных программ на компьютеры пользователей. Эти программы используются не только для мониторинга активности пользователей в Интернете и кражи личной информации, но и для создания бот-сетей для распространения спама и проведения DDoS-атак.

Поле от

Для того, чтобы запутать получателей, мошенники могут изменить части адреса отправителя. Они часто пытаются сделать его похожим на официальный адрес курьерской компании.

В мошеннических сообщениях можно выделить несколько групп адресов электронной почты:
1. Адреса электронной почты, которые очень похожи на реальные публичные бизнес-адреса. Обычно в качестве имени отправителя используется название компании (DHL INC, TNT COURIER SERVICE, Fedex и т. Д.). Название почтового ящика часто содержит такие слова, как: информация, служба, noreply, почта, поддержка [информация, служба, автоматически создаваемое сообщение, сообщение, помощь], которые являются типичными для адресов электронной почты, с которых отправляются официальные уведомления. Доменное имя сервера часто имеет реальное или очень надежное звучание домена компании.

Доменное имя сервера часто имеет реальное или очень надежное звучание домена компании

2. Адреса, которые не похожи на реальные деловые адреса. Имя отправителя по-прежнему относится к названию компании (FedEx, DHL Service, FedEx.com), но доменное имя обычно принадлежит бесплатной почтовой службе или совершенно другой компании. Адрес электронной почты может принадлежать фактическому пользователю (загруженный из открытых источников или из украденных почтовых ящиков), или он может быть создан автоматически. В последнем случае он обычно имеет форму случайной последовательности букв, слов и цифр.

В последнем случае он обычно имеет форму случайной последовательности букв, слов и цифр

3. Адреса, напоминающие адреса электронной почты сотрудников компании. Имя отправителя может включать имя предполагаемого сотрудника, название компании или должность (курьер, менеджер и т. Д.). Имя почтового ящика обычно содержит одно и то же имя в поле имени отправителя, поскольку любые различия в данных могут вызвать подозрение у получателя, что он имеет дело с мошенническим сообщением. В качестве имени домена может использоваться фактический домен компании или другие домены, не связанные с курьерскими компаниями.

В качестве имени домена может использоваться фактический домен компании или другие домены, не связанные с курьерскими компаниями

4. Адреса, которые указывают только адрес отправителя без имени.

Адреса, которые указывают только адрес отправителя без имени

Анализируя адреса отправителей, имейте в виду, что мошенникам не нужно взламывать корпоративные серверы, чтобы использовать фактический домен компании в поле «От». Они могут просто вставить данное доменное имя сервера туда.

Предметное поле

Тема мошеннического сообщения должна привлечь внимание получателей и побудить их открыть сообщение, и в то же время должна вызывать доверие. Поэтому мошенники выбирают общие фразы, характерные для официальных уведомлений от курьерских компаний. После отправки пакета или документа клиенты часто беспокоятся о том, дойдет ли их посылка до места назначения, и пытаются отслеживать ее статус, читая все уведомления от курьерской компании.

Самые популярные темы:

1. Темы, связанные с доставкой / доставкой (уведомление о доставке, статус доставки, подтверждение доставки, документы об отправке, информация о доставке и т. Д.).

Примеры:

Примеры:

2. Темы, связанные с отслеживанием отправления, информацией о заказе и счетами (номер отправления, отслеживание отправления и т. Д.).

Примеры:

3. Темы, связанные с уведомлениями о сообщениях и учетных записях (создание и подтверждение учетных записей, новых сообщений и т. Д.).

Мошенники придают большое значение появлению электронной почты. Их основная цель - сделать сообщение максимально достоверным. В конце концов, если это выглядит подозрительно, потенциальная жертва все равно удалит его, несмотря на привлекательный предмет и заслуживающий доверия адрес отправителя. Давайте проанализируем основные методы, используемые мошенниками, чтобы их электронные письма выглядели реальными.

Графический дизайн

Все крупные международные компании имеют собственный фирменный стиль, который состоит из логотипов, графических товарных знаков, фирменных шрифтов, слоганов и цветных узоров. Вы можете увидеть их на официальном сайте, в отгрузках и рекламе. Мошенники используют по крайней мере некоторые из этих элементов при разработке мошеннических электронных писем, чтобы придать им больше доверия. Обычно фишеры фокусируются на логотипе, потому что это уникальный элемент, который отличает данную компанию и является быстрым признаком.

Примеры логотипа DHL, используемого в мошеннических письмах:

Примеры логотипа DHL, используемого в мошеннических письмах:

Давайте внимательнее посмотрим на эти примеры. На первый взгляд видно, что второй пример сильно отличается от официального логотипа компании. Еще одним признаком мошенничества является разница в размерах ложного и оригинального логотипа, что видно в четвертом примере, где логотип занимает почти треть сообщения. Мошенники, вероятно, хотят привлечь внимание большой, яркой картинкой, а не самим контентом. Это также объясняет, почему фишинговые ссылки имеют больший шрифт: пользователи должны немедленно реагировать на сообщение, не читая текст мелким шрифтом.

В первом примере мошенники пытаются скопировать внешний вид официального сайта (очень популярный метод). Тем не менее, логотип находится справа, а не слева. Кроме того, он размещен на разноцветном фоне, а не на униформе. Логотип в третьем примере больше всего напоминает оригинальный логотип DHL: мошенники пытались подделать его размер и внешний вид. На самом деле, создать логотип для фальшивых уведомлений несложно: в Интернете доступно множество версий исходного изображения в нескольких форматах, включая векторную графику. В дополнение к логотипу мошенники используют цветовую гамму, выбранную компанией для своих официальных документов и корреспонденции. Например, для DHL это сочетание желтого и красного.

Распределение текста

В большинстве официальных писем вы можете найти много фиксированных фраз, особенно в стандартных уведомлениях, которые генерируются и отправляются автоматически. Эти сообщения часто содержат контактные данные и ссылки на официальные ресурсы отправителя. Поэтому, чтобы текст поддельного электронного письма выглядел как оригинальное уведомление от курьерской компании, мошенники используют следующие приемы:

1. Стандартные фразы, типичные для официальной массовой рассылки: Пожалуйста, не отвечайте на это письмо, Diese Versendung ist automatisch, Bitte beantworten Sie diese nicht, Это сообщение содержит информацию, являющуюся собственностью компании, и может быть конфиденциальным. Задание автоматической отправки электронной почты, предварительная отправка и т. Д. И т. Д. [Пожалуйста, не отвечайте на это сообщение, это сообщение было сгенерировано автоматически, пожалуйста, не отвечайте на него, Все права защищены, Эта корреспонденция содержит конфиденциальную информацию и может быть конфиденциальной].

[Пожалуйста, не отвечайте на это сообщение, это сообщение было сгенерировано автоматически, пожалуйста, не отвечайте на него, Все права защищены, Эта корреспонденция содержит конфиденциальную информацию и может быть конфиденциальной]

2. Ссылки на официальный сайт компании. Не все ссылки, содержащиеся в мошенническом сообщении, являются фишинговыми. Спаммеры также могут размещать ссылки, которые фактически ведут на официальные ресурсы. Таким образом, они хотят, чтобы их электронные письма выглядели легитимными и могли обходить спам-фильтры.

Таким образом, они хотят, чтобы их электронные письма выглядели легитимными и могли обходить спам-фильтры

3. Контактные данные отправителя. Мошенники часто размещают контактную информацию отправителя или компании (имя, фамилия, должность, адрес офиса). Эти данные могут быть правдивыми или вымышленными.

Эти данные могут быть правдивыми или вымышленными

При отправке поддельных писем мошенники должны не только убедить получателей в том, что они получили настоящее сообщение. Следующий шаг - убедить потенциальную жертву сделать то, что от нее хочет мошенник, например, она предоставила личную информацию или установила вредоносный файл. Психология играет здесь важную роль, и основным инструментом является содержание электронной почты.

В поддельных уведомлениях, отправляемых якобы курьерскими компаниями, часто используются следующие приемы:

1. Уведомления о различных проблемах (например, неудачная попытка доставки, отсутствие информации, неправильный адрес, отсутствие получателя по адресу доставки). Эти фразы чаще всего связаны с доставкой, потому что новостные компании работают в сфере услуг. Таким образом, предупреждение логистической компании о проблеме доставки не вызовет никаких подозрений, особенно если в электронном письме содержатся подробности ситуации.

Таким образом, предупреждение логистической компании о проблеме доставки не вызовет никаких подозрений, особенно если в электронном письме содержатся подробности ситуации

2. Требование, чтобы получатель что-то сделал, иначе он пострадает от последствий. Например, «забрать посылку в течение 5 дней, иначе она будет возвращена отправителю».

Мошенники сообщают о крайних сроках принятия мер, чтобы убедить получателей отреагировать немедленно. Фишеры надеются, что пользователи будут настолько обеспокоены возможностью потери пакета или оплаты дополнительных расходов, что без колебаний предоставят свои личные данные или откроют подозрительное вложение.

3. Фразы, касающиеся содержания приложения или ссылки (счета, реквизиты, документы).

Пользователи вряд ли смогут открывать вложения или переходить по ссылкам из неизвестного источника. Вот почему мошенники подражают официальным веб-сайтам и скрывают вредоносные программы в форме документа, содержащего информацию о пакете. Кроме того, если текст уведомления показывает, что вложение содержит, например, товаросопроводительный документ, злонамеренный архив будет иметь соответствующее имя, например, «consignment.zip». Это также относится к ссылкам на фишинговые сайты - мошенники вставляют в названия своих ссылок соответствующую фразу из текста, например, «информация об отправке».

Этот простой трюк состоит в том, чтобы убедить аудиторию в том, что привязанность или ссылка реальны.

4. Фразы, указывающие на необходимость что-то сделать (нажмите на ссылку, откройте вложение, распечатайте файл и т. Д.).

Когда мошенники убеждают аудиторию в том, что их электронная почта реальна, следующим шагом является инструктирование жертв, как решить их проблему. Выполнение этих команд является конечной целью мошеннической электронной почты. Здесь важно не только, чтобы мошенники сообщали получателям, что делать, но и чтобы последние хорошо понимали сообщение. Чтобы избежать недоразумений, сообщениям часто дается именно то, что делать.

Чтобы избежать недоразумений, сообщениям часто дается именно то, что делать

Как вы можете изменить текст

Обман пользователей - не единственное, что должны делать мошенники. Они также должны обходить спам-фильтры и предоставлять электронную почту почтовым ящикам потенциальных жертв. Один из самых популярных и наиболее часто используемых методов обхода фильтров - это изменение фрагментов текста в электронном письме. Современные программы, используемые для рассылки спама, предоставляют множество возможностей для внесения различных изменений в текст. Текст сообщения, который отличается от других электронных писем, делает это сообщение уникальным, а различная личная информация, предоставляемая в одной отправке (например, номер отправки, адрес, дата), помогает убедить получателей в том, что электронная почта направляется только для них. Кроме того, мошенники могут отправлять сообщения в одном стиле в течение многих месяцев - им просто нужно изменить некоторые элементы в тексте.

Мошеннические уведомления от курьерских компаний могут содержать следующие изменения:

  1. Информация о заказе / отгрузке (включая номер для отслеживания, дату доставки и т. Д.)
  2. Контактная информация, имя отправителя и компании. В некоторых массовых рассылках указывается адрес электронной почты или номер телефона представителя компании, с которым нужно связаться. Эти данные варьируются в зависимости от электронной почты. Кроме того, имена представителей компаний и даже названия компаний могут отличаться.
  3. Название вложения. Обычно это вредоносные вложения, имена которых отличаются в сообщениях в рамках одной массовой рассылки, даже если они содержат одну и ту же вредоносную программу.
  4. Список литературы. В фишинговых письмах, содержащих вредоносные вложения, мошенники часто меняют адреса ссылок, маскируя их с помощью различных служб сокращения URL-адресов. Большинство этих ссылок быстро блокируются современными антивирусными программами.
  5. Фразы с указанием чисел и дат. Они могут ссылаться на даты (дни и часы), денежные суммы и даты (дни и месяцы).
  6. Добро пожаловать. Спамеры обычно используют адрес электронной почты и / или имя получателя. Иногда вместо этого они используют общие фразы (Уважаемый покупатель и т. Д.).
  7. Другие части текста. Некоторые слова заменяются другими фразами аналогичного значения, так что общий смысл предложения не меняется.

Давайте рассмотрим несколько примеров изменений в тексте мошеннических сообщений.

Ниже приведены письма от другой массовой рассылки.

Ложные страницы

Для кражи личной информации пользователей мошенники создают фишинговые HTML-страницы, которые частично или полностью имитируют официальный сайт компании. Если жертвы мошенничества сообщат на своем веб-сайте свою личную информацию (банковские реквизиты, имя пользователя и пароль), эти данные немедленно попадут в руки мошенников.

Чтобы скрыть ссылки, ведущие на фишинговые сайты, мошенники часто используют популярные бесплатные службы сокращения URL-адресов. Большинство из этих сайтов предлагают клиентам возможность просматривать статистику по короткой ссылке, которая предоставляет мошеннические данные о количестве кликов по любым ссылкам. Фишинговые сайты могут быть расположены в специально зарегистрированных доменах, которые обычно характеризуются коротким сроком службы, а также в скомпрометированных доменах, которые владелец может даже не знать, что сайт используется в мошеннических целях.

Давайте проанализируем поддельное электронное письмо, отправленное от имени FedEx, в котором отправитель просит получателя обновить данные своей учетной записи. Содержимое сообщения содержит ссылку на официальный веб-сайт компании, однако фактический адрес, на который перенаправляется пользователь, не имеет никакого отношения к легитимному сайту и находится в бесплатном сервисе, позволяющем сокращать адреса. Это становится очевидным, когда вы наводите курсор мыши на ссылку.

После нажатия на ссылку пользователи переходят на мошенническую страницу, имитирующую официальный веб-сайт FedEx, где им предлагается ввести свой логин и пароль для доступа к своей учетной записи. Когда пользователи заполняют поля и нажимают «Войти», мошенникам будет отправлена ​​информация, которая позволит им получить доступ к аккаунтам своих жертв. Вкладки меню и другие ссылки на фишинговом сайте часто неактивны, поэтому нажатие на них не приведет пользователей на нужную страницу. Однако в некоторых случаях фишеры имитируют все ссылки на сайте, так что пользователи не сомневаются в его подлинности. Иногда обман мошеннической страницы имитирует официальный сайт, но это не верная копия. Если вы внимательно посмотрите на детали, мы заметим несколько различий между внешним видом реальной и контрафактной страницы. Однако большинство пользователей не обращают внимания на такие вещи, что помогает мошенникам воровать личную информацию.

Ниже приведен еще один пример электронного письма, отправленного от имени FedEx. На этот раз содержит вредоносную ссылку. Сообщение информирует получателей, что доставка невозможна из-за отсутствия информации. Поэтому пользователи должны щелкнуть конкретную ссылку для подтверждения.

Ссылка ведет на мошенническую страницу, где потенциальным жертвам предлагается загрузить программу, которая предположительно проверит, действительно ли они получили пакет. Конечно, программа оказывается известным трояном Zeus, который помогает мошенникам получить доступ к компьютеру и всей личной информации на нем.

Мошенники могут не только размещать фишинговую ссылку в теле письма, но также включать фишинговую HTML-страницу, предназначенную для кражи личных данных. Однако такое использование HTML-вложений в качестве фишинговых сайтов необычно для мошеннических отправлений, отправляемых от имени курьерских компаний.

Мошеннические письма на разных языках

Чтобы увеличить количество получателей и клиентов, спамеры осваивают новые языки. Помимо традиционного английского и немецкого языков, текущий спам-трафик включает электронные письма на иврите, албанском и других языках. Например, вы можете найти поддельные уведомления от международных курьерских компаний, написанные на итальянском и голландском языках. Эти сообщения не имеют каких-либо специальных функций, которые отличают их от сообщений на английском или немецком языках - чтобы обмануть пользователей, мошенники прибегают к тем же приемам.

Например, следующее поддельное уведомление на итальянском языке от FedEx указывает пользователям подтвердить свою личность, нажав на мошенническую ссылку.

Например, следующее поддельное уведомление на итальянском языке от FedEx указывает пользователям подтвердить свою личность, нажав на мошенническую ссылку

В свою очередь, другая массовая партия на итальянском языке содержала вредоносный архив, в котором скрывался троян Zeus / Zbot, используемый для кражи личных данных. Мошенническое электронное письмо «утверждало», что на сайте были обновлены профили пользователей, а более подробную информацию по этому вопросу можно найти в архивах.

Мошенническое электронное письмо «утверждало», что на сайте были обновлены профили пользователей, а более подробную информацию по этому вопросу можно найти в архивах

Другое поддельное уведомление, написанное на голландском языке от имени TNT, информирует получателей о том, что для них были созданы новые учетные записи, и подробности приводятся в приложении. В архиве, прикрепленном к электронному письму, содержится вредоносная программа Backdoor.Win32.Andromeda - вредоносный файл, который позволяет мошенникам контролировать зараженный компьютер без ведома пользователя.

Andromeda - вредоносный файл, который позволяет мошенникам контролировать зараженный компьютер без ведома пользователя

Спам является одним из самых популярных способов распространения вредоносных программ и заражения компьютеров. Злоумышленники используют различные приемы, чтобы заставить жертв установить вредоносное ПО на свои компьютеры. Почтовый трафик состоит из различных личных сообщений, таких как приглашения на свадьбу, предложения о свиданиях или другие подобные сообщения. Тем не менее, поддельные уведомления от известных компаний, предоставляющих различные услуги, остаются самой популярной уловкой киберпреступников. Международные курьерские компании также используются спамерами в качестве прикрытия для вредоносного спама.

Вредоносное ПО, распространяемое в виде поддельных уведомлений от курьерских компаний, можно разделить на следующие группы:

  1. Троянские программы, предназначенные для выполнения несанкционированных операций по удалению, блокированию, изменению или копированию данных, вмешиваются в работу компьютера или сети. Трояны, распространяемые в спаме, включают в себя: бэкдоры, трояны-загрузчики, трояны-прокси, трояны PSW, троянские программы-шпионы, банковские трояны и многое другое.
  2. Черви, вредоносные программы, способные к несанкционированному распространению на компьютерах или компьютерных сетях. Такие копии затем распространяются дальше.

Чем опасны вредоносные программы?

  1. Они могут похищать имена пользователей и пароли из учетных записей пользователей, а также финансовую и другую информацию, на которую охотятся злоумышленники.
  2. Они могут создавать бот-сети для распространения спама, проводить DDoS-атаки и другие криминальные действия.
  3. Они могут предоставить мошенникам контроль над компьютерами жертв, включая возможность запуска, удаления или установки файлов или программ.

Текущие вредоносные программы объединяют широкий спектр «мошеннических» функций. Кроме того, некоторые из них могут загружать другие вредоносные программы, предоставляя дополнительные возможности. Это может быть кража имен пользователей и паролей, введенных в браузер, или удаленное управление всем компьютером.

Вредные объекты в мошеннических уведомлениях могут быть встроены непосредственно в электронное письмо или загружены по ссылке, указанной в теле сообщения. Самое опасное в этом состоит в том, что вредоносное ПО может быть запущено и установлено без ведома пользователей или самих себя. Обычно вредоносные ZIP-файлы (реже RAR), прикрепленные к мошенническим письмам, имеют расширение исполняемого файла .exe.

Ниже мы представляем краткое руководство, благодаря которому каждый научится распознавать поддельные электронные письма.

  1. Адрес отправителя. Если адрес отправителя содержит случайную последовательность букв, слов или цифр или домен не имеет ничего общего с официальным адресом компании, такие электронные письма следует считать мошенническими и удалять их без вскрытия.
  2. Грамматические и опечатки. Неправильный порядок слов, неправильная пунктуация, грамматические ошибки и опечатки также могут указывать на то, что сообщение является мошенничеством.
  3. Графическое оформление. Мошенники делают все возможное, чтобы их электронная почта выглядела как оригинал. С этой целью они пытаются подражать корпоративному стилю компаний, используя определенные элементы, такие как цветовое оформление или логотип. Поддельные электронные письма указывают на неточности и видимые ошибки в макете.
  4. Содержание электронной почты. Если получателя электронного письма под разными предлогами просят немедленно подтвердить личную информацию, загрузите файл или ссылку - особенно под угрозой санкций за невыполнение - такое электронное письмо может быть частью мошенничества.
  5. Перекрестные ссылки с разными адресами. Если ссылка, указанная в тексте электронного письма, не соответствует адресу фактической ссылки, на которую перенаправлен пользователь, такое письмо, безусловно, является мошенническим. Если вы просматриваете почту из браузера, вы обычно можете увидеть фактическую ссылку в левом нижнем углу окна браузера. Если вы используете почтовый клиент, фактическая ссылка может отображаться во всплывающем окне после наведения на ссылку в тексте. Мошеннические ссылки также могут быть прикреплены к текстовой фразе в электронном письме.
  6. Прикрепленные архивы. Обычно архивы ZIP и RAR используются злоумышленниками для сокрытия вредоносных EXE-файлов. Поэтому не открывайте такие архивы и не запускайте вложенные файлы.
  7. Нет контактной информации для отправки ответа. Юридические электронные письма всегда содержат контактную информацию для отправки ответов - о компании или конкретном отправителе.
  8. Форма обращения. Мошеннические электронные письма не всегда адресованы получателю, используя его имя и фамилию; иногда уместна универсальная форма обращения к получателю («клиент» и т. д.).

Чем опасны вредоносные программы?