Jedną z metod pomagających cyberprzestępcom w przyciąganiu użytkowników do zainfekowanych załączników i zasobów online jest podszywanie się pod znane marki. Popularną odmianą takich ataków jest wykorzystywanie wizerunku międzynarodowych firm kurierskich, które posiadają miliony klientów oraz oddziały w miastach na całym świecie. Eksperci z Kaspersky Lab przyjrzeli się takim zagrożeniom i przygotowali porady, dzięki którym każdy będzie mógł zawczasu rozpoznać atak.
Cyberprzestępcy wykorzystujący wizerunek firm kurierskich mają dwa podstawowe cele:
· Kradzież poufnych danych (dane dotyczące kart bankowych, loginy i hasła z kont online), głównie za pomocą fałszywych stron internetowych podszywających się pod oficjalne witryny. W wyniku ataku phishingowego użytkownicy przekazują oszustom swoje dane osobiste, wypełniając pola na fałszywych stronach lub wysyłając je za pośrednictwem wiadomości e-mail.
· Instalowanie szkodliwych programów na komputerach użytkowników. Programy te są wykorzystywane nie tylko do monitorowania aktywności online użytkowników i kradzieży informacji osobistych, ale również do tworzenia botnetów służących do rozprzestrzeniania spamu i przeprowadzania ataków DDoS.
Zwykle w polu nadawcy wiadomości wykorzystywana jest prawdziwa (lub w niewielkim stopniu zmieniona) nazwa kuriera. Adres e-mail często zawiera takie słowa jak: info, service, noreply, support (informacja, usługa, wiadomość generowana automatycznie, pomoc). Zawartość pola nadawcy może także przypominać adres e-mail pracownika danej firmy lub być zupełnie losowa.
Temat oszukańczej wiadomości powinien przykuć uwagę odbiorców i zachęcić ich do otworzenia wiadomości, a jednocześnie musi być wiarygodny. Dlatego też oszuści wybierają frazy typowe dla oficjalnych powiadomień pochodzących od firm kurierskich. Po wysłaniu paczki lub dokumentu klienci często martwią się, czy ich przesyłka dotrze do celu, i próbują śledzić jej status, czytając wszelkie powiadomienia pochodzące od firmy kurierskiej. Tematy mogą być zatem związane z wysyłką, statusie dostawy, potwierdzeniem wysyłki, śledzeniem paczki itp.
Oszuści przywiązują dużą wagę do wyglądu fałszywych e-maili. Ich głównym celem jest sprawienie, aby wiadomość była możliwie najbardziej wiarygodna. W końcu jeśli będzie wyglądała podejrzanie, potencjalna ofiara skasuje ją mimo atrakcyjnego tematu i wiarygodnego adresu nadawcy. Z tego powodu oszuści stosują - lub przynajmniej próbują - oficjalne style graficzne firm kurierskich i korporacyjny język, którego można oczekiwać w takich e-mailach.
Przykład rozsyłanego w Polsce e-maila, w którym przestępcy podszywają się pod znaną firmę kurierską. Wiadomość zawiera zainfekowany załącznik.
Sama treść wiadomości ma za zadanie nakłonienie potencjalnej ofiary, by zrobiła to, czego oczekuje oszust, np. dostarczyła informacje osobiste lub zainstalowała szkodliwy plik. Tutaj ważną rolę odgrywa psychologia, a głównym narzędziem jest odpowiednia konstrukcja treści, która może obejmować problemy z dostawą, błędy w adresie, ponaglenia do odbioru przesyłki, faktury czy frazy wskazujące na wykonanie określonej czynności (kliknięcie odnośnika, uruchomienie załącznika, wydrukowanie pliku itp.).
Gdy oszuści przekonają odbiorców, że ich e-mail jest prawdziwy, kolejnym krokiem jest poinstruowanie ofiar, jak mają rozwiązać swój "problem". Wykonanie tych poleceń stanowi ostateczny cel oszukańczego e-maila. Tutaj istotne znacznie ma nie tylko to, aby oszuści poinformowali odbiorców, co mają zrobić, ale również żeby ci ostatni dobrze zrozumieli wiadomość. W celu uniknięcia jakichkolwiek błędów często podawane są dokładne instrukcje, tłumaczące krok po kroku, jakie działania należy wykonać. Efektem wszystkich starań atakujących ma być zainstalowanie szkodliwego programu lub wypełnienie przez ofiarę fałszywego formularza z danymi osobowymi i bankowymi.
Eksperci z Kaspersky Lab przygotowali krótki poradnik, dzięki któremu każdy może szybko rozpoznać sfałszowane wiadomości e-mail.
· Adres nadawcy. Jeśli adres nadawcy zawiera losową sekwencję liter, słów czy liczb, lub domena nie ma nic wspólnego z oficjalnym adresem firmy, takie e-maile należy uznać za oszukańcze i usunąć bez otwierania.
· Błędy w treści. Niewłaściwa kolejność słów, zła interpunkcja, błędy gramatyczne oraz literówki również mogą sugerować, że wiadomość to element oszustwa.
· Układ graficzny. Oszuści robią, co mogą, aby ich e-mail przypominał oryginał. W tym celu próbują imitować styl korporacyjny firm przy użyciu określonych elementów takich jak układ kolorów czy logo. Na fałszywe e-maile wskazują niedokładności oraz widoczne błędy w układzie graficznym (np. zmieniona kolorystyka, logo w złych proporcjach, nietypowe czcionki itp.).
· Treść e-maila. Jeśli odbiorca jest proszony pod różnymi pretekstami o natychmiastowe potwierdzenie informacji osobistych, pobranie pliku lub odsyłacza - zwłaszcza pod groźbą sankcji za niezrobienie tego - należy zignorować taką wiadomość.
· Odsyłacze z różnymi adresami. Jeśli link podany w treści e-maila nie odpowiada adresowi rzeczywistego odsyłacza, do którego użytkownik zostaje przekierowany, wiadomość jest z pewnością sfałszowana. Jeśli przeglądasz pocztę z przeglądarki, rzeczywisty odsyłacz można zwykle zobaczyć w lewym dolnym rogu okna przeglądarki. Jeżeli korzystasz z klienta pocztowego, rzeczywisty odsyłacz może zostać wyświetlony w oknie wyskakującym po najechaniu kursorem na odsyłacz w tekście. Oszukańcze odsyłacze mogą być również dołączone do frazy tekstowej w e-mailu.
· Załączone archiwa. Zwykle archiwa ZIP i RAR są wykorzystywane przez cyberprzestępców w celu ukrywania szkodliwych plików wykonywalnych EXE. Dlatego nie należy otwierać takich archiwów ani uruchamiać załączonych plików.
· Brak informacji kontaktowych umożliwiających wysłanie odpowiedzi. Legalne
e-maile zawsze zawierają informacje kontaktowe w celu wysłania odpowiedzi - dotyczące firmy lub konkretnego nadawcy.
· Forma adresu. Oszukańcze e-maile nie zawsze zwracają się do odbiorcy, używając jego imienia i nazwiska; czasami stosowna jest uniwersalna forma zwracania się do odbiorcy ("klient" itd.).
Źródło informacji: firma Kaspersky Lab