Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Фейковая доставка эпохи карантина

Фейковая доставка эпохи карантина

Как мошенники используют проблемы с доставкой посылок во время эпидемии, и как не попасться на их уловки.

Трудно найти сферу человеческой деятельности, на которую бы не повлияла пандемия коронавируса. Службы экспресс-доставки — не исключение. Транспортные потоки между странами нарушены, грузовых самолетов не хватает, при этом люди и компании продолжают заказывать товары как внутри стран, так и из-за рубежа, а спрос на некоторые вещи резко вырос.

Все это приводит к увеличению сроков доставки посылок. В результате почтовые сервисы пишут клиентам письма с извинениями, заказчики пытаются отследить свои отправления онлайн, а киберпреступники пользуются сложившейся ситуацией. В последнее время мы наблюдаем фейковые сайты и рассылки якобы от имени служб доставки, которые эксплуатируют тему коронавируса. Мошенники используют как проверенные временем приемы, так и новые.

Спам: доставка зловреда на дом

Часто злоумышленники представляются сотрудниками служб доставки, чтобы заставить жертву открыть вредоносное вложение в письме. Классическая уловка — сообщить о том, что посылка уже пришла, но чтобы ее получить, нужно прочитать или подтвердить информацию в приложенном файле.

Например, в поддельном письме от крупной службы доставки на ломаном английском говорится, что посылка прибыла на склад, но из-за эпидемии ее не могут доставить на дом, поэтому за ней нужно явиться лично.

Адрес склада и прочие подробности, конечно же, находятся во вложении. Если получатель его откроет, на компьютер будет установлен бэкдор из семейства Remcos, позволяющий, в частности, превращать устройство в зомби, воровать данные или загружать других зловредов.

Мошенники сообщают о доставке от имени крупной транспортной компании

Мошенники сообщают о доставке от имени крупной транспортной компании

Похожий прием используют авторы мошеннического письма от имени другой службы доставки, которая якобы не может доставить посылку из-за ошибки в данных. От жертвы требуют подтвердить информацию из вложения, которое на самом деле содержит еще одного представителя семейства Remcos. Обратите внимание на адрес отправителя: он выдает, что к реальной компании злоумышленники имеют мало отношения.

Мошенники притворяются крупной службой доставки, но адрес отправителя их выдает

Мошенники притворяются крупной службой доставки, но адрес отправителя их выдает

Иногда спамеры для большей убедительности вставляют в письмо изображения документов. Так, мошенники дополнили текст письма фотографией квитанции, которую невозможно прочесть из-за масштаба. Нажимать на изображение бесполезно — с ним ничего не происходит. Остается разве что открыть вредоносное вложение, в названии которого присутствует стандартное расширение графического файла — .jpg.

Если почтовый клиент получателя не отображает настоящие расширения, такое вложение легко принять за изображение. На самом же деле это исполняемый архив .ace, который запустится, как только вы на него кликнете. Внутри архива скрывается шпионская программа Noon.

Чтобы убедить жертву открыть вложение, злоумышленники требуют прислать недостающую информацию, пока не ввели карантин.

Во вложении письма вместо картинки квитанции — архив с двойным расширением

Во вложении письма вместо картинки квитанции — архив с двойным расширением

Еще одна не новая, но актуальная в сложившейся ситуации тема для вредоносного письма — задержка доставки. Сценарий очень правдоподобный, а за подробностями мошенники в примере ниже опять-таки отправляют пользователя во вложение. В нем скрывается троян Bsymem, позволяющий злоумышленникам управлять устройством и воровать данные. Чтобы дополнительно усыпить бдительность получателя, внизу письма значится, что оно якобы проверено почтовым защитным решением и не содержит вредоносных файлов и ссылок.

Мошенники сообщают о задержке доставки из-за эпидемии COVID-19

Мошенники сообщают о задержке доставки из-за эпидемии COVID-19

Многие спамеры просто вставляют упоминание COVID-19 в старые шаблоны вредоносных рассылок. Но встречаются и письма, в которых основной акцент делается именно на введение карантина и стремительное развитие пандемии.

Например, история о том, что правительство запретило ввозить в страну какие бы то ни было товары и посылка отправилась обратно, явно полностью навеяна текущей ситуацией.

Мошенники утверждают, что правительство закрыло ввоз товаров в страну

Мошенники утверждают, что правительство закрыло ввоз товаров в страну

Во вложении якобы содержится номер для отслеживания заказа, по которому можно будет запросить его повторную отправку, когда эпидемия пойдет на спад. Открыв файл, получатель рискует установить бэкдор Androm, который открывает злоумышленникам удаленный доступ к компьютеру жертвы.

Фишинг: в погоне за аккаунтами на сайтах доставки

Мошенники, специализирующиеся на фишинге, тоже пользуются сложной ситуацией на рынке доставки. Мы обнаружили как очень правдоподобные копии легитимных сайтов, так и фейковые страницы отслеживания отправлений. И те, и другие, конечно же, упоминают коронавирус.

Так, охотники за аккаунтами клиентов крупной службы экспресс-доставки в деталях повторили интерфейс заглавной страницы официального сайта, в том числе последние новости об эпидемии.

Настоящая заглавная страница сайта службы доставки (слева) и фишинговый ресурс, который ее имитирует (справа)

Настоящая заглавная страница сайта службы доставки (слева) и фишинговый ресурс, который ее имитирует (справа)

Не менее детализованной выглядит и копия официального сайта другой курьской службы, на которой коронавирус также упоминается в новостях.

Фишинговый ресурс, имитирующий заглавную страницу сайта крупной курьерской службы

Фишинговый ресурс, имитирующий заглавную страницу сайта крупной курьерской службы

А вот авторы фейкового портала для отслеживания посылок добавили COVID-19 в строку с копирайтом. Другой информации на странице немного: форма для ввода учетных данных и список «партнеров» — сервисов электронной почты. Доподлинно неизвестно, что мошенники хотели сказать этим списком, однако можно предположить, что названия известных компаний повысят доверие к сайту.

Отметим, что такой прием часто встречается на фишинговых страничках, нацеленных на кражу логинов и паролей от электронной почты. Как бы то ни было, если жертва введет на этом ресурсе свои учетные данные, они утекут к мошенникам, а судьба посылки так и останется неизвестной.

Фейковая страница отслеживания отправлений

Фейковая страница отслеживания отправлений

Как не попасться на удочку мошенников

На фоне эпидемии и большого количества действительно задерживающихся посылок фейковые сайты имеют хорошие шансы убедить пользователя, а письма — зацепить внимание. Особенно если вы действительно ждете посылку. Или если информация об отправлении пришла, скажем, на рабочую почту, и вы имеете все основания думать, что заказ мог оформить кто-то из коллег. Чтобы не попасться на удочку мошенников:

  • Внимательно посмотрите на адрес отправителя — если письмо пришло с бесплатного почтового сервиса или содержит бессмысленный набор символов в имени почтового ящика, перед вами, скорее всего, подделка. Правда, не забывайте о том, что адрес отправителя в письмах вполне могут и подделать.
  • Обращайте внимание на текст. Крупная компания совершенно точно не будет рассылать письма с криво отформатированным текстом и большим количеством грамматических ошибок.
  • Не открывайте вложения в письмах от служб доставки, особенно если отправитель всячески подталкивает вас к этому. Лучше загляните в свой личный кабинет на сайте транспортной компании или проверьте трекинг посылки по номеру, вбив адрес нужной вам страницы в браузер вручную. То же самое стоит сделать, если вам пришло письмо с требованием срочно перейти по ссылке.
  • Отнеситесь к письму с особым вниманием, если в нем к месту или не очень упоминается коронавирус. Киберпреступники используют горячие темы, чтобы зацепить внимание жертвы, поэтому на такие сообщения ни в коем случае нельзя реагировать второпях.
  • Пользуйтесь надежным защитным решением, которое распознает вредоносное вложение и заблокирует фишинговый сайт.

Источник: Лаборатория Касперского

28.04.2020