koronawirus

Fałszywe dostawy w erze izolacji

W jaki sposób oszuści wykorzystują problemy z dostawą w trakcie epidemii i jak nie dać się nabrać na ich sztuczki?

Tatyana Shcherbakova
28/04/2020

Trudno znaleźć sferę aktywności człowieka, której nie dotknęła pandemia koronawirusa, a usługi dostaw ekspresowych nie są tu wyjątkiem. Transport międzynarodowy szwankuje, a także brakuje odpowiednich samolotów, ponieważ ludzie i firmy zamawiają towary nie tylko z kraju, ale i zza granicy. Nieoczekiwanie zapotrzebowanie na niektóre przedmioty przekroczyło najśmielsze oczekiwania.

Wzrost popytu powoduje opóźnienia w dostawach. W efekcie klienci przyzwyczaili się, że dostają wiadomości od kurierów, w których przepraszają oni za nieterminową dostawę i dołączają linki umożliwiające monitorowanie aktualnego stanu dostawy. Ostatnio zaobserwowaliśmy wiele fałszywych stron i e-maili, które zostały wysłane rzekomo przez firmy kurierskie. Wiele z nich wykorzystywało wątek koronawirusa. Oszuści używają zarówno sprawdzonych, jak i nowych sztuczek.

Spam zawierający szkodliwe załączniki

Spamerzy mogą podszywać się pod pracowników firm kurierskich, aby łatwiej im było przekonać ofiary do otwarcia szkodliwych załączników pocztowych. Klasyczną sztuczką jest stwierdzenie, że w celu odebrania paczki odbiorca musi najpierw przeczytać lub potwierdzić informacje w załączonym pliku.

Na przykład jedna z fałszywych wiadomości z powiadomieniem o dostawie napisana łamaną angielszczyzną informuje, że ze względu na pandemię przesyłki nie można doręczyć, a zatem odbiorca musi osobiście odebrać ją z magazynu.

Oczywiście adres magazynu i pozostałe informacje znajdują się w załączniku, który — po otwarciu — instaluje na komputerze backdoora Remcos. Cyberprzestępcy mogą wcielić komputer do botnetu, ukraść przechowywane na nim dane lub zainstalować inny szkodliwy program.

Fałszywe powiadomienie o dostawie

Autorzy innej fałszywej wiadomości o dostawie stosują podobną sztuczkę: ofiara dowiaduje się, że firma nie dostarczyła paczki z uwagi na błędną etykietę. Ofiara jest proszona o potwierdzenie informacji zawartych w załączniku, którzy w rzeczywistości zawiera innego członka rodziny Remcos.

Ci oszuści podszywają się pod pracownika pewnej firmy oferującej dostawę ekspresową, jednak zdradza ich adres

Czasami spamerzy umieszczają w wiadomości zdjęcia dokumentów, co ma zwiększyć ich wiarygodność. W poniższym przykładzie oszuści dodali do treści e-maila niewielki obraz. Wygląda on jak recepta, ale jest zbyt mały, aby można było go odczytać. Ponieważ rozmiar nie zmieniał się po kliknięciu, skłaniało to odbiorcę do otwarcia szkodliwego załącznika, w którego nazwie umieszczono „.jpg”.

Jeśli klient pocztowy, którego używa odbiorca, nie wyświetla prawdziwego rozszerzenia pliku, może on omyłkowo zinterpretować załącznik jako zdjęcie. Jednak tak naprawdę jest to archiwum ACE zawierające oprogramowanie szpiegowskie Noon.

Cyberprzestępcy twierdzą, że ofiara musi pospieszyć się z podaniem brakujących informacji, aby paczka mogła zostać dostarczona, póki jeszcze jest to możliwe.

Fałszywa wiadomość od firmy kurierskiej zawierająca archiwum z podwójnym rozszerzeniem

Inny szkodliwy temat wiadomości e-mail, który choć nie jest nowy, jest teraz szczególnie na topie, to opóźnienia w dostawie. Scenariusz jest niestety wysoce prawdopodobny: oszuści nakłaniają ofiarę do otwarcia załącznika, który zawiera trojana Bsymem. Po uruchomieniu umożliwia on atakującemu przejęcie kontroli nad urządzeniem i kradzież danych. Wiadomość zawiera oświadczenie, że została przeskanowana rozwiązaniem zabezpieczającym dla poczty i nie zawiera żadnych szkodliwych plików ani łączy. Celem tej informacji jest uśpienie czujności ofiary.

Fałszywe powiadomienie o opóźnieniu w dostawie ze względu na COVID-19

Wielu spamerów powołuje się w swoich wiadomościach na COVID-19. Niektórzy skupiają się na kwarantannie i szybkim rozprzestrzenianiu się pandemii.

Na przykład pewnego razu rząd podobno zakazał importu do kraju wszelkich towarów, więc paczka została zwrócona do nadawcy.

Oszuści twierdzą, że rząd zakazał importu towarów do kraju odbiorcy

Teoretycznie załącznik zawiera numer zamówienia, dzięki któremu będzie można wysłać prośbę o ponowną wysyłkę po ustaniu restrykcji związanych z koronawirusem. Jednak otwarcie pliku skutkuje instalacją backdoora Androm, który daje atakującym zdalny dostęp do komputera.

Phishing

Oszuści specjalizujący się w atakach phishingowych również wykorzystują chaos na rynku dostaw. Wykryliśmy bardzo wiarygodne kopie legalnych stron internetowych, jak również fałszywe strony do śledzenia przesyłek — wszystkie oczywiście wspominały w jakimś kontekście o koronawirusie.

Na przykład phisherzy atakujący konta klientów firm kurierskich utworzyli wierny klon oficjalnej strony domowej firmy, w tym najnowsze wiadomości o pandemii.

Oficjalna strona (po lewej) i imitujący ją zasób phishingowy (po prawej)

Nie mniej szczegółów zawiera klon innej strony firmy dostawczej, który również zawiera najnowsze informacje związane z koronawirusem.

Zasób phishingowy przypominający inną stronę usługi kurierskiej

Autorzy fałszywego portalu umożliwiającego śledzenie paczek dodali COVID-19 do sekcji informującej o prawach autorskich. Na stronie jest niewiele innych informacji: znajduje się na niej formularz wprowadzania danych logowania i lista „partnerskich” serwisów poczty e-mail. Oczywiście wprowadzone dane logowania trafiają wprost w ręce oszustów, a los paczki pozostanie nieznany.

Fałszywa strona do śledzenia przesyłek

Jak nie dać się nabrać na sztuczki oszustów

Na tle pandemii i wielu opóźnień prawdziwych wysyłek fałszywe strony i e-maile mają dużą szansę powodzenia — zwłaszcza jeśli naprawdę spodziewasz się paczki lub na przykład informacje o wysyłce zostały wysłane na Twój firmowy adres e-mail i można podejrzewać, że zamówienie złożył nasz kolega. Aby uniknąć wpadki:

Dokładnie przyjrzyj się adresowi nadawcy. Jeśli wiadomość pochodzi z darmowej usługi poczty e-mail lub nazwa skrzynki pocztowej zawiera ciąg znaków, które nic nam nie mówią, najprawdopodobniej jest ona fałszywa. Pamiętaj jednak, że adres nadawcy możesz wyszukać.
Zwróć uwagę na treść. Duża firma nigdy nie wysyła e-maili z dziwnie sformatowaną treścią i niepoprawną gramatyką.
Nie otwieraj załączników do wiadomości e-mail od firm przewozowych, zwłaszcza jeśli nalega na to nadawca. W zamian zaloguj się do swojego konta na stronie danej firmy lub ręcznie wprowadź adres serwisu w przeglądarce, aby sprawdzić numer śledzenia. Podobnie postępuj, jeśli otrzymasz e-mail nakłaniający do kliknięcia łącza.
Zachowaj czujność, gdy wiadomość wspomina o koronawirusie. Cyberprzestępcy wykorzystują gorące tematy w celu przyciągnięcia uwagi, więc lepiej nie spiesz się z jakimikolwiek działaniami.
Zainstaluj niezawodne rozwiązanie zabezpieczające, które wykryje szkodliwe załączniki i zablokuje strony phishingowe.

Organizacja MITRE przeprowadza ewaluacje ATT&CK

Organizacja MITRE poddała testom nasze rozwiązania w ramach ewaluacji APT29. Na czym polega ten test, dlaczego i w jaki sposób jest przeprowadzany, a także jak odczytywać wyniki?

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Fałszywe dostawy w erze izolacji

Spam zawierający szkodliwe załączniki

Phishing

Jak nie dać się nabrać na sztuczki oszustów

Wielki lockdown: Jak COVID-19 wpłynął na cyberbezpieczeństwo

Dezynfekcja smartfona z koronawirusa

Organizacja MITRE przeprowadza ewaluacje ATT&CK

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog