Спам и фишинг

Доставка от спамеров: опасность гарантирована

Известные компании и бренды являются излюбленными мишенями мошенников. Ведь привлечь внимание пользователей к письмам, написанным якобы популярными и узнаваемыми компаниями, намного проще, а значит, и шансы, что пользователь станет жертвой мошенников, тоже высоки.

В этой статье мы подробно изучим фишинговые и вредоносные письма, которые рассылаются злоумышленниками от имени международных служб доставки. Наиболее популярными у фишеров являются немецкая компания DHL, американские компании FedEx, United Parcel Service (UPS) и голландская компания TNT. Все эти компании являются международными, имеют филиалы в крупнейших странах мира и миллионы клиентов. И поскольку перечисленные компании предоставляют услуги в одной сфере спамеры, используя их имена, прибегают к одним и те же методам и приемам для создания мошеннических писем и обмана пользователей.

Фишеры преследуют следующие цели:

  1. Кража конфиденциальных данных пользователей (данных банковских карт, логинов и паролей от личных кабинетов) в основном при помощи поддельных веб-страниц, имитирующих официальные страницы сайта. Главная черта фишинга – пользователь сам передает мошенникам свои персональные данные, заполняя поля на поддельных страницах или отправляя их по почте.
  2. Установка на компьютер пользователя различных вредоносных программ, которые используются не только для отслеживания действий пользователя и кражи различной персональной информации, но и для организации ботнетов для рассылки спама и проведения DDoS-атак.

Заголовки мошеннических писем

Поле отправителя (From)

Структурно адрес в поле From выглядит как: Имя отправителя «имя почтового ящика@доменное имя сервера». Чтобы ввести получателя в заблуждение, мошенники могут менять любой элемент адреса, в том числе делая его похожим на официальный адрес службы доставки.

В мошеннических письмах можно выделить несколько групп электронных адресов:

  1. Электронные адреса, похожие на легитимные общие адреса, принадлежащие компаниям. В них в качестве имени отправителя обычно используется непосредственно название компании (DHL INC, TNT COURIER SERVICE, Fedex и т.д.). В качестве имени почтового ящика часто используются слова info, service, noreply, mail, support, которые характерны для адресов электронной почты, использующихся для рассылки различных официальных уведомлений. В качестве доменного имени сервера указываются реальные или очень правдоподобные домены компаний.
  2. FraudShipment_1

  3. Адреса, не похожие на легитимные адреса компании. В таких адресах в качестве имени отправителя также используется название компании (FedEx, DHL Service, FedEx.com), а вот доменное имя обычно принадлежит различным сервисам бесплатной почты или совсем другим компаниям. В качестве адреса электронной почты спамеры могут использовать адреса реальных пользователей (взломанные электронные адреса, адреса, собранные из различных открытых источников) или сгенерированные автоматически адреса. Последние обычно представляют собой произвольную последовательность букв, слов и цифр.
  4. FraudShipment_2

  5. Адреса, похожие на электронные адреса сотрудников компаний. В качестве имени отправителя в таком адресе может стоять имя и фамилия, а также название компании или должность (Courier, Manager и т.д.). В имени почтового ящика обычно указываются те же имя и фамилия, что и в имени отправителя, так как разные данные могут насторожить получателя мошеннического письма. В качестве доменного имени может использоваться как настоящий домен компании, так и другие домены, не связанные с компаниями служб доставки.
  6. FraudShipment_3

  7. Адреса, в которых указывается только адрес отправителя без указания его имени.
  8. FraudShipment_4

При изучении адреса отправителя не стоит забывать, что для того чтобы в поле отправителя стоял реальный домен компании, мошенникам совсем не обязательно взламывать серверы компании, достаточно подставить в адрес поля From нужное доменное имя сервера.

Поле Subject

Тема мошеннического письма должна привлекать внимание получателя и побуждать его открыть письмо, но в то же время быть правдоподобной. Поэтому спамеры выбирают в качестве темы общие фразы, характерные для официальных писем служб доставки. Отправляя посылку или документы, клиенты в большей или меньшей степени беспокоятся за успешную доставку и, конечно, стараются не только активно отслеживать ее передвижение, но и читать все информационные письма от служб доставки.

Наиболее популярными темами являются:

  1.  Темы, связанные с доставкой/отправкой отправлений (уведомления об отправке, статус доставки, подтверждение отправки, документы об отправке, информация о доставке и т.д.).
  2. Примеры:

    FraudShipment_5

  3. Темы, связанные с отслеживанием отправлений, информацией о заказе и счетом на оплату (номер отправления, отслеживание отправления и т.д.).
  4. Примеры:

    FraudShipment_6

  5. Темы, связанные с уведомлениями о сообщениях и аккаунтах (создание и подтверждение аккаунта, получение новых сообщений и т.д.).
  6. FraudShipment_7

Оформление письма

Особое внимание мошенники уделяют оформлению электронного письма. Их главная цель — заставить получателя поверить в правдивость письма. Ведь если оно покажется подозрительным, то потенциальная жертва, скорее всего, просто удалит его, несмотря на привлекающую внимание тему и кажущийся настоящим адрес отправителя. Рассмотрим основные приемы, которые мошенники используют для придания письмам легитимного вида.

Графическое оформление

Крупные компании, успешно работающие на мировом рынке, непременно имеют свой собственный фирменный стиль, который включает словесный товарный знак, графический товарный знак, фирменный шрифт, слоган, цветовую гамму оформления официального сайта, рассылок и рекламных роликов и другие компоненты. Некоторые из перечисленных элементов используются злоумышленниками в оформлении мошеннических писем с целью привлечь внимание получателя и придать письму подлинный вид. В частности, чаще других фишеры используют логотип, поскольку этот элемент является уникальным для любой компании, по нему узнают и выделяют компанию среди других организаций.

Примеры использования логотипов компании DHL в мошеннических письмах.

FraudShipment_8

Проанализируем представленные примеры. Сразу можно заметить, что логотип во втором примере сильно отличается от официального логотипа компании. Другой признак подделки — если размеры фальшивого логотипа отличны от оригинала, как в 4-м примере, где логотип занимает почти третью часть письма. Скорее всего, большой размер логотипа в данном примере используется для привлечения внимания пользователя, так как получатель в первую очередь замечает яркое изображение большого размера, а не текст письма. С этой же целью мошенники написали адрес фишинговой ссылки более крупным шрифтом: пользователь должен был сразу кликнуть по ней, не вчитываясь в сравнительно мелкий текст письма.

В первом примере мошенники попытались скопировать оформление официального сайта (весьма популярный прием), однако логотип расположили справа, а не слева, и фон изображения использовали не однотонный, а с изменением яркости. Логотип из третьего примера наиболее точно повторяет оригинальный логотип DHL, мошенники постарались соблюсти его размеры и оформление. Стоит отметить, что изготовить логотип для поддельного уведомления несложно: в интернете, как правило, можно найти оригинальное изображение в разных графических форматах, в том числе и форматах для векторной графики. Кроме логотипа, мошенники используют цветовую гамму, выбранную компанией для оформления официальных ресурсов и рассылок. Например, для компании DHL это сочетания желтого и красного цветов.

Текстовое оформление

В тексте большинства официальных писем можно встретить ряд стандартных фраз, особенно если речь идет о типовом уведомлении, сгенерированном и отправленном автоматически. Также в таких письмах часто присутствуют контакты и ссылки на официальные ресурсы компании-отправителя. Поэтому чтобы сделать текст фальшивого письма похожим на настоящее уведомление от служб доставки мошенники используют:

  1. Типовые фразы, характерные для официальных рассылок: Please do not reply to this email, This is automatically generated email, please do not reply, All rights reserved, Diese Versendung ist automatisch, Bitte beantworten Sie diese nicht, This communication contains proprietary information and may be confidential. Questo e’ un email automatico, Si prega di non rispondere и др.
  2. FraudShipment_9

  3. Ссылки на официальные страницы компании. Не все ссылки, указанные в мошенническом письме, являются фишинговыми – спамеры также могут использовать настоящие ссылки, ведущие на официальные ресурсы, для придания своему письму легитимного вида и обхода средств фильтрации спама.
  4. FraudShipment_10

  5. Контакты для обратной связи. Мошенники нередко указывают данные (имя, фамилия, должность, адрес офиса) конкретного сотрудника — отправителя письма или общие контакты компании. Отметим, что такими контактами могут быть и настоящие, и вымышленные адреса и телефоны.
  6. FraudShipment_11

Содержание письма

Для мошенников, рассылающих фальшивые письма, важно не только убедить получателя в правдивости письма, но и заставить предполагаемую жертву добровольно выполнить нужные действия, например предоставить персональную информацию или установить вредоносный файл. Для этого злоумышленники используют приемы психологического воздействия на получателя. В этом случае главным инструментом в руках фишеров является текст письма, его содержание.

В мошеннических уведомлениях, присланных якобы от служб доставки, злоумышленники часто используют следующие приемы:

  1. Уведомление о различных ошибках и причинах их возникновения (неудачная доставка, отсутствие информации, неправильный адрес, отсутствие получателя по адресу доставки).
  2. Обычно такие фразы связаны с доставкой отправления, так как именно в этой сфере услуг работают рассматриваемые нами компании. Поэтому уведомление об ошибке в доставке от логистической компании не вызывает у получателя никаких подозрений, особенно если в письме содержится объяснения причин недоставки и какие-либо подробности.

    FraudShipment_12

  3. Просьбы выполнить что-либо с упоминанием возможных санкций в случае неисполнения. Например, «заберите отправление в течение 5 дней, иначе оно будет возвращено отправителю».
  4. Такие фразы мошенники используют, чтобы заставить получателя незамедлительно выполнить то, что написано в письме. В этом случае фишеры рассчитывают, что пользователь, боясь не получить посылку или оказаться вынужденным платить пени, не станет долго раздумывать и под влиянием эмоций сам передаст персональные данные или запустит вредоносный файл.

    FraudShipment_13

  5. Фразы с указанием, что находится во вложении или по ссылке (счет, подробная информация, документы).
  6. Если пользователь не знает или не уверен в том, что находится по ссылке или во вложении, он вряд ли будет действовать так, как нужно злоумышленникам. Поэтому мошенники выдают поддельные страницы за страницы официальных сайтов, а зловреды в архиве – за документы, содержащие различную информацию об отправлении. Кроме того, если в тексте уведомления говорится, что во вложении, например, находится транспортная накладная, то и сам вредоносный архив будет иметь созвучное название, например, «транспортная накладная.zip». Это относится и к фишинговым ссылкам – злоумышленники привязывают их к соответствующим фразам в тексте, например, «информация о доставке».

    Этот простой прием используется спамерами для того, чтобы у получателя не возникло сомнений в том, что во вложении или по ссылке находится именно то, о чем говорится в тексте уведомления.

    FraudShipment_14

  7. Фразы про необходимость выполнить какие-либо действия (перейти по ссылке, открыть вложение, распечатать файл и т.д.).
  8. Представим, что мошенникам все же удалось убедить получателя в правдивости письма. Далее необходимо сообщить потенциальной жертве, что следует сделать для решения описанной в письме проблемы, так как именно выполнение указанных в теле письма действий и является конечной целью злоумышленников. Тут для мошенников важно не просто сообщить получателю, что от него требуется сделать, а сообщить так, чтобы он правильно понял написанное в письме. Чтобы избежать недопонимания со стороны получателя, в тексте письма часто встречаются указания конкретных действий, которые пользователь должен выполнить.

    FraudShipment_15

Что может меняться в тексте

Обман пользователя не единственная задача злоумышленников. Сначала им надо обойти спам-фильтры и доставить письма в электронные ящики потенциальных жертв. Одним из наиболее популярных и давно используемых методов обхода спам-фильтров является изменение текстовых фрагментов письма. В современных программах рассылки спам-сообщений имеются широкие возможности по генерации многочисленных вариантов изменений в тексте. Меняющийся от письма к письму текст делает письмо уникальным, а указание разной персональной информации в письмах одной рассылки, например номера отправления, обращения, даты, помогает убедить получателя, что письмо адресовано именно ему. Кроме того, мошенники могут рассылать письма, оформленные по одному шаблону, на протяжении нескольких месяцев, для этого им необходимо лишь менять некоторые элементы в тексте.

В мошеннических уведомлениях от служб доставки меняются:

  1. Информация о заказе/отправлении. Сюда в основном относится номер отправления, номер отслеживания отправления, сроки доставки отправления и т.д.
  2. Контактные данные и имена отправителей, названия компаний. В некоторых рассылках для обратной связи с представителем компании, отправившим письмо, указываются телефоны или электронные адреса. Именно эти данные и изменяются от письма к письму. Кроме того, имена представителей компании и непосредственно названия компаний также могут меняться.
  3. Имя вложения. В основном это относится к вредоносным вложениям, названия которых меняются в письмах одной рассылки, однако при этом под разными названиями скрывается одна и та же вредоносная программа.
  4. Ссылки. В фишинговых письмах и письмах с вредоносными ссылками спамеры часто меняют именно адреса ссылок, маскируя их, в том числе с помощью различных сервисов сокращения ссылок. В основном такие ссылки быстро блокируются современными антивирусами.
  5. Фразы с указанием количественных характеристик и даты. В число количественных характеристик входят продолжительность (дни, часы), количество денежных средств (например, пени) и дата (число и месяц).
  6. Обращения. В качестве обращения спамеры обычно подставляют в тело письма адрес электронного ящика и/или имя получателя. Иногда вместо них могут указываться общие слова (client, customer и т.д.).
  7. Другие текстовые фрагменты. Некоторые слова заменяют другими словами, близкими по значению, не меняя при этом смысла предложения в целом. Например, слово package можно заменить словом parcel, а enclosed – словом attached.

Рассмотрим на примере нескольких рассылок варианты изменения текста в мошеннических сообщениях.

FraudShipment_16

Варианты писем еще одной рассылки.

FraudShipment_17

Поддельные страницы

Для кражи личной информации пользователей мошенники создают фишинговые HTML-страницы, оформление которых частично или полностью копирует официальный сайт какой-либо компании. Если жертва мошенников вводит на такой странице персональную информацию (банковские данные, логины и пароли), последняя немедленно попадает в руки злоумышленников.

Для маскировки ссылок, ведущих на фишинговые страницы, мошенники часто используют популярные бесплатные сервисы сокращения ссылок. Кроме того, большинство сервисов предлагают своим клиентам возможность просматривать статистику по размещенной короткой ссылке, что дает мошенникам дополнительную информацию, например о количестве переходов по ссылке и т.д. Фишинговые страницы могут быть размещены на специально зарегистрированных доменах, которые обычно имеют короткий срок жизни, а также на взломанных доменах, чей владелец может и не подозревать о том, что его веб-сайт используется в мошеннических целях.

Рассмотрим поддельное письмо, отправленное от имени компании FedEx, в котором получателя просят обновить информацию учетной записи на сайте. В тексте письма получатель видит ссылку на страничку официального сайта компании, однако реальный адрес, на который перенаправляют пользователя совсем не похож на легитимный и расположен на бесплатном сервисе сокращения ссылок. Это становится очевидно, если навести курсор на ссылку.

FraudShipment_18

Кликнув по ссылке, пользователь попадает на мошенническую страницу, имитирующую официальный сайт компании FedEx, где необходимо ввести логин и пароль для входа в личный кабинет. Как только пользователь заполнит поля и нажмет кнопку «Login», введённая информация передается мошенникам, которые получают доступ к личному кабинету жертвы. Следует отметить, что часто вкладки меню и многочисленные ссылки на фишинговой странице неактивны, то есть при нажатии на предполагаемую ссылку перехода на нужную страничку не происходит. Однако в некоторых случаях фишеры подделывают все ссылки на странице, чтобы у пользователя не возникло сомнений в легитимности фишинговой страницы. Часто оформление страницы только похоже, а не копирует официальную страницу полностью. Если приглядеться к деталям, то можно заметить некоторые отличия в оформлении настоящей и поддельной страниц. Однако в большинстве случаев пользователь не обращает внимания на мелкие различия, и мошенники успешно используют это для кражи персональной информации.

FraudShipment_19

Рассмотрим еще один пример письма от имени компании FedEx, на этот раз с вредоносной ссылкой. В письме сообщается, что по причине отсутствия важной информации доставка не может быть осуществлена. И теперь для проверки личности пользователю необходимо пройти по указанной ссылке.

FraudShipment_20

Ссылка ведет на мошенническую страницу, где потенциальной жертве предлагают скачать программу, которая якобы должна проверить, является ли пользователь получателем отправления. Под видом программы, естественно, скрывается зловред — известная троянская программа Zeus, с помощью которой мошенники получают доступ не только к компьютеру пользователя, но и ко всей персональной информации жертвы.

FraudShipment_21

Стоит отметить, что мошенники могут не только указывать адрес фишинговой ссылки в теле письма, но и прикреплять к письму вложение в формате HTML, которое и является фишинговой страницей, предназначенной для кражи персональной информации пользователей. Для мошеннических рассылок от служб доставки использование HTML-вложений в качестве фишинговых страниц не характерно.

Мошеннические письма на разных языках

Для расширения аудитории получателей и заказчиков спамеры осваивают все новые языки. Помимо традиционных английского и немецкого языков сегодня в спам-трафике можно встретить письма на иврите, албанском и других языках, которые несколько лет назад не встречались в рекламных и мошеннических рассылках. Так, среди поддельных уведомлений от международных служб доставки встречаются сообщения, например, на итальянском и голландском языках. Такие письма не имеют никаких особенностей по сравнению с письмами, написанными на английском и немецком языках, — для обмана пользователей злоумышленники прибегают к тем же уловкам.

Например, в фальшивом уведомлении о доставке от компании FedEx, написанном на итальянском языке, пользователю необходимо было подтвердить свою личность, пройдя по мошеннической ссылке.

FraudShipment_22

Письмо еще из одной рассылки на итальянском языке содержало вредоносный архив, в котором находилась троянская программа Zeus/Zbot, используемая для кражи персональных данных. В мошенническом письме сообщалось, что профиль пользователя на сайте компании был обновлен и более детальная информация об этом находится в архиве.

FraudShipment_23

В другом поддельном уведомлении, написанном на голландском языке от имени компании TNT, сообщалось, что новый счет сформирован и его оригинал находится во вложении. В архиве, прикрепленном к письму, находился вредоносный файл Backdoor.Win32.Andromeda, установка которого позволяет злоумышленникам незаметно для пользователя управлять зараженным компьютером.

FraudShipment_24

Зловреды в мошеннических письмах

Спам является одним из популярных способов распространения вредоносных программ и заражения компьютеров пользователей в Интернете. Злоумышленники прибегают к различным уловкам для того, чтобы заставить жертву установить вредоносное ПО на свой компьютер. В почтовом трафике можно встретить различные частные письма, например, приглашения на свадьбу, предложения знакомства и другие подобные сообщения. Однако наибольшей популярностью у киберпреступников все же пользуются поддельные уведомления от известных компаний и брендов, предоставляющих услуги в разнообразных сферах. Международные службы доставки также используются спамерами для рассылки вредоносного спама.

Вредоносные программы, рассылаемые в поддельных уведомлениях от служб доставки, подразделяются на:

  1. троянские программы созданы для осуществления не санкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. К троянским программам, которые распространяются в спаме, относятся Backdoor, Trojan-Downloader, Trojan-Proxy, Trojan-PSW, Trojan-Spy, Trojan-Banker и другие;
  2. черви — вредоносные программы, обладающие способностью к не санкционированному пользователем саморазмножению на компьютерах или в компьютерных сетях. При этом полученные копии также обладают этой способностью.

Чем опасны вредоносные программы:

  1. могут красть логины и пароли от учетных записей и личных кабинетов, а также финансовую или любую другую информацию, необходимую злоумышленникам.
  2. могут создавать ботнеты для рассылки спама, DDoS-атак и других преступных действий
  3. могут предоставлять злоумышленникам контроль над компьютером пользователя, в том числе возможность запускать, удалять, устанавливать любые файлы и программы.

Современные вредоносные программы сами по себе имеют достаточно широкий функционал, отвечающий целям злоумышленников. Кроме того, некоторые зловреды могут загружать другое вредоносное ПО, обладающее дополнительными возможностями, от кражи логинов и паролей, введённых в браузере, до удаленного контроля над компьютером.

В мошеннических уведомлениях вредоносные объекты могут быть вложены непосредственно в письмо или же загружаться по ссылке, указанной в теле письма. Опасность заключается в том, что вредоносные программы могут запускаться и устанавливаться без ведома пользователя и без выполнения специальных действий по установке с его стороны. Обычно вложенные в мошеннические письма вредоносные файлы запакованы в ZIP, реже — в RAR-архив и имеют исполняемое расширение .exe.

Как распознать мошенническое письмо

Приведем ряд признаков, по которым можно определить, что письмо является мошенническим.

  1. Адрес отправителя письма. Если в электронном адресе письма присутствуют бессмысленные последовательности букв, слов, цифр, посторонние домены, ничего не имеющие общего с официальными адресами компании, то такие письма уже по одному этому признаку можно причислить к мошенническим и удалить их без открытия.
  2. Грамматические и орфографические ошибки. Нарушение порядка слов, неверная расстановка знаков препинания, ошибки в грамматике и орфографии также могут быть признаком мошеннической рассылки.
  3. Графическое оформление. Мошенники стараются сделать письмо максимально похожим на настоящее и учитывают общий корпоративный стиль компании, стараются использовать отдельные его элементы, например цветовую схему и изображение логотипа. Неточности и заметные ошибки в оформлении являются одним из признаков письма-подделки.
  4. Содержание письма. Если в тексте письма под разными предлогами получателя просят предоставить или подтвердить какую-либо персональную информацию, скачать файл или перейти по ссылке, при этом сообщая о срочности или каких-либо санкциях в случае невыполнения инструкций, указанных в письме, то все это является признаком мошеннического письма.
  5. Ссылки с разными адресами. Если адрес указанной в теле письма ссылки и адрес реальной ссылки, на которую происходит переход, не совпадают, то перед вами определенно мошенническое письмо. Если вы просматриваете почту из браузера, то настоящую ссылку можно увидеть обычно слева внизу в окне браузера, а если вы пользуетесь почтовым клиентом, то реальная ссылка может отображаться во всплывающем окне при наведении курсором на ссылку в тексте. Отметим, что мошенническая ссылка может быть прикреплена и к текстовой фразе в письме.
  6. Вложения-архивы. Обычно в архивах ZIP и RAR киберпреступники прячут исполняемые вредоносные файлы в формате EXE. Поэтому не стоит открывать такие архивы и тем более запускать вложенные в них файлы.
  7. Отсутствие контактов для обратной связи. В легитимных письмах всегда указываются контакты для обратной связи, либо общие, либо частные сотрудников-отправителей письма.
  8. Отсутствие обращения. В качестве обращения не обязательно используются имя и фамилия получателя; иногда используется просто универсальное обращение («клиент» и т.п.).

Доставка от спамеров: опасность гарантирована

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике