W ciągu ostatnich kilku miesięcy wielu naszych klientów trafiło na celownik oszustów podających się za firmy kurierskie Fedex i DHL. W atakach tego rodzaju haker podszywa się pod jedną z firm kurierskich, aby zainfekować urządzenie końcowe szkodliwym kodem, takim jak ransomware. Napastnicy starają się, żeby nadawca i temat wiadomości wydawały się autentyczne, a tryb wiadomości był pilny – zwiększa to prawdopodobieństwo, że ofiara-pracownik otworzy wiadomość ze złośliwym skryptem.
(Żródło: Fotolia)
Wyróżnione zagrożenie:
Złośliwe wiadomości skonstruowane tak, aby wyglądały jak autentyczne powiadomienia o dostawie albo potwierdzenia od firmy kurierskiej.
W polu nadawcy wiadomości zwykle widnieje Fedex/DHL. Na przykład:
• „Fedex.com Online Services”
• „Package Fedex”
• „FedEx International Ground”
• „DHL Express”
• „DHL Customer Service©”
Temat wiadomości również wygląda na autentyczny. Oto kilka przykładów:
• „DELIVERY NOTIFICATION” („powiadomienie o dostawie”)
• „DHL Package Has Arrived” („przyszła paczka DHL”)
• „Unable to delivery your item” („nie można dostarczyć zamówienia”)
• „Problems with item delivery” („problemy z dostarczeniem przesyłki”)
Nadawca zwykle posiada adres e-mail niezwiązany z tymi firmami kurierskimi. Jednakże często odbiorcy nie zwracają uwagi na adres nadawcy i po prostu klikają załącznik. W tym momencie komputer zostaje zainfekowany oprogramowaniem ransomware, które blokuje użytkownikowi dostęp do komputera – odblokowanie jest możliwe po tym jak cybersprzestępcy wpłacony zostanie żądany okup. Najczęściej spotykane załączniki, które zawierają ransomware to skompresowane pliki, takie jak .rar, .zip, .7z i .ace, ale zaobserwowaliśmy też wykorzystywanie przez cyberprzestępców bardziej popularnych formatów plików, takich jak dokumenty PDF lub pakietu Office.
Podobnie jak w przypadku innych zagrożeń dnia zerowego, takich jak ataki z wykorzystaniem życiorysów CV, wydaje się, że hakerzy biorą na cel konkretne organizacje i osoby, kiedy istnieje wysokie prawdopodobieństwo, że wiadomość zostanie otwarta, a organizacja zainfekowana. Ataki te są wymierzone we wszystkie branże z naciskiem na te, które wysyłają i odbierają fizyczne towary lub dokumenty. Najczęściej ofiarą padają firmy z takich branż, jak produkcja, handel detaliczny, elektronika i usługi profesjonalne, a najczęstszymi celami w tych organizacjach są osoby zajmujące się dostawami. Hakerzy niekoniecznie biorą na cel dyrektorów tych firm, a w wielu przypadkach wolą atakować pracowników niższego szczebla, którzy często nie znają i nie stosują zalecanych praktyk w dziedzinie bezpieczeństwa IT.
Działania zapobiegawcze:
Najlepszym sposobem obrony przed napastnikami podszywającymi się pod firmy kurierskie jest wdrożenie rozwiązania zabezpieczającego, takiego jak Barracuda Essentials for Email Security lub Essentials for Office 365. Zalecamy też przeszkolenie pracowników w zakresie obrony przed technikami phishingu i podszywania się, a także organizowanie bieżących ćwiczeń dla pracowników, którzy zajmują się dostawami. Użytkownicy Office 365 mogą skorzystać z bezpłatnego narzędzia Barracuda Email Threat Scanner, które pozwala przeskanować skrzynki pocztowe Office 365 i ustalić, czy atak już się rozpoczął.
źródło: Barracuda
