Почта к нам приходит

В преддверии больших праздников, таких как Новый Год и Рождество, значительно возрастает нагрузка на почтовые службы и службы доставки. Ведь в эти дни люди покупают товары в онлайн-магазинах, посещают распродажи, а также отправляют почтой, в том числе международной, подарки для друзей и близких. Службы доставки помогают своим клиентам избежать ненужных тревог, рассылая уведомления по электронной почте и предлагая системы трекинга посылок. Но это создает также благоприятную почву для мошенников, рассылающих фишинговые письма от имени крупнейших почтовых служб, и в результате мы фиксируем рост числа подобных рассылок.

Цель мошенников проста: убедить доверчивых пользователей скачать вредоносную программу или ввести свои конфиденциальные данные на фишинговом сайте. Например, в одной из обнаруженных «Лабораторией Касперского» рассылок, адресата просили заполнить и подписать форму доставки для получения посылки. К письму был прикреплен документ .doc, содержащий эксплойт Exploit.MSWord.Agent.gg, и позволяющий злоумышленнику, например, получить удаленный доступ к зараженной машине.

Рассылка с Exploit.MSWord.Agent.gg

В другой рассылке мошенники сообщают, что посылка, якобы, уже находится в офисе, но не может быть доставлена курьером, т.к. адрес написан неразборчиво. Получателя просят в течение 48 часов перейти по ссылке и ввести номер посылки на странице трекинга, иначе она будет возвращена обратно.

Если присмотреться, то все ссылки из письма ведут не на сайт почтовой службы DHL, а на один и тот же URL, упакованный с помощью сервиса сокращения ссылок. Также в письме была использована типичная для мошенников уловка, когда жертву убеждают зайти на сайт как можно быстрее, в данном случае в течение 48 часов, угрожая в противном случае вернуть посылку обратно. Расчет мошенников прост: отвлечь пользователя мнимой срочностью и заставить его действовать необдуманно.

Если доверчивый пользователь перейдет по ссылке, он попадет на сайт, выполненный в корпоративном стиле компании DHL, где ему будет предложено ввести свои логин и пароль для входа в систему отслеживания посылки.

Введённые на таком сайте данные, несомненно, попадут в руки злоумышленников. А пользователь получит сообщение в стиле: «Ваш аккаунт успешно обновлен» и будет перенаправлен на официальную страницу DHL, что убедит его в легитимности проведенной операции.

Такая же ситуация наблюдается с еще одним крупным поставщиком услуг доставки – компанией FedEx. Специалистами «Лаборатории Касперского» были задетектированы множественные фишинговые рассылки от имени этой компании.

Рассылка от имени Fedex

Схема обмана не может похвастаться новизной: для того, чтобы посмотреть информацию о посылке, жертве нужно ввести на предложенном сайте данные своего аккаунта.

Фишинговая страница, маскирующаяся под сайт FedEx

О том, что сайт мошеннический и никак не относится к FedEx, явно говорит URL в адресной строке браузера.

Из приведенных примеров можно сделать вывод, что в интернете нельзя быть слишком доверчивым и невнимательным. Не стоит переходить по ссылкам в сообщениях из электронной почты, лучше лишний раз вручную набрать адрес нужного сайта в браузере. Следует всегда обращать внимание на адресную строку странички ввода конфиденциальных данных. Если что-то в адресе или оформлении сайта кажется подозрительным – стоит сто раз подумать, прежде чем вводить на нем личную информацию.

Наконец, стоит держать в актуальном состоянии антивирусное ПО с защитой от фишинга, которое поможет сохранить конфиденциальность данных и не потерять денежные средства, а в результате сохранить праздничное настроение.