Een kwaadaardige e-mailcampagne die zich voordoet als DHL verspreidt een bijlage die malware installeert zodra deze wordt geopend. De e-mail gebruikt het onderwerp ” DHL Shipment Notification Ref ID: 44633179800 ” en beweert dat DHL digitale kopieën van verzendpapieren verstuurt. Het bericht instrueert de ontvanger om een bestand te downloaden en te openen en om bewerken in te schakelen zodra het document geopend is. De e-mail is kwaadaardig en moet genegeerd worden.
De e-mail presenteert zich als een kennisgeving met verzenddocumenten. Het bijgevoegde bestand is een Word-document met een naam in een formaat dat lijkt op “Originele verzenddocumenten [willekeurige nummers].docx.” De attachment is het belangrijkste onderdeel van de aanval. Bij het openen geeft het document aan dat de gebruiker bewerking moet inschakelen. Dit activeert kwaadaardige macrocode die in het bestand is ingebed. Zodra het actief is, probeert de macro extra malware van externe servers te downloaden.
Analyse van voorbeelden uit deze campagne toont aan dat het document een trojan-downloader is. Nadat de macro is uitgevoerd, haalt de malware bestanden op die mogelijk inloggegevens verzamelen, browsergegevens lezen, toetsaanslagen registreren of externe toegang tot het apparaat mogelijk maken. Sommige varianten proberen verdere malware te installeren of het apparaat te verbinden met een externe commandoserver. De operatie is afhankelijk van het inschakelen van bewerkingen door de gebruiker, wat de kwaadaardige code toegang geeft tot systeemfuncties.
De kwaadaardige e-mail bootst DHL-branding na om het geloofwaardig te laten lijken. Aanvallers gebruiken de kleuren, lay-outstructuur en logoplaatsing van DHL om een bericht te creëren dat lijkt op een verzendbericht. De e-mail toont een referentienummer in de onderwerpregel om officieel te lijken. De inhoud bevat echter geen trackinggegevens, afzenderinformatie, verzendherkomst of gepersonaliseerde details. Het bericht bevat geen links naar de website van DHL en is volledig gebaseerd op het overtuigen van de gebruiker om de bijlage te openen.
De aanvallers achter deze campagne vertrouwen op de wereldwijde erkenning van DHL. De naam en branding moedigen ontvangers aan te geloven dat de boodschap echt is, vooral als ze een levering verwachten of ervaring hebben met verzenddiensten. De scam is afhankelijk van de snelle reactie van de ontvanger, het bericht gelooft en het bestand opent zonder de bron te verifiëren. Zodra de gebruiker bewerking inschakelt, wordt het apparaat blootgesteld aan de volledige malware-payload.
De volledige ” DHL Shipment Notification Ref ID: 44633179800 ” e-mail staat hieronder:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Hoe je kwaadaardige e-mails herkent
Het identificeren van kwaadaardige e-mails is essentieel om malware-infecties te voorkomen. Verschillende indicatoren kunnen gebruikers helpen bepalen of een e-mail verdacht of mogelijk schadelijk is. Een van de duidelijkste signalen is het adres van de afzender. DHL gebruikt officiële domeinen voor alle klantcommunicatie. Elke e-mail die afkomstig is van een gratis e-maildienst, zoals Gmail of van een onbekend domein, moet met voorzichtigheid worden behandeld. Aanvallers kunnen ook variaties van legitieme domeinen gebruiken om gebruikers te misleiden, dus nauwkeurige inspectie van het adres is belangrijk.
Een ander waarschuwingssignaal is het gebruik van generieke begroetingen of vage uitspraken over zendingen. Legitieme bedrijven verwijzen doorgaans naar klanten bij naam of geven specifieke bestelgegevens. Oplichters gebruiken vaak brede uitdrukkingen zoals “Beste klant” of “Uw zending is aangekomen” zonder context te geven. Gebruikers moeten op hun hoede zijn voor onverwachte e-mails over leveringen die ze niet hebben aangevraagd of pakketten die ze niet verwachten.
Hechtingen vormen een grote bron van risico. DHL verstrekt over het algemeen trackinginformatie via links naar hun officiële website, niet via bijgevoegde documenten. Een bestand waarbij de gebruiker bewerkingen of macro’s moet inschakelen is een sterke aanwijzing voor kwaadwillige bedoelingen. Gebruikers mogen nooit het bewerken of inschakelen van scripts voor ongevraagde bijlagen, vooral niet die beweren verzenddocumenten te bevatten. Als de e-mail een bijlage bevat, dienen ontvangers de authenticiteit te verifiëren via onafhankelijke kanalen, zoals het controleren van bestaande bestellingen of het handmatig bezoeken van de officiële DHL-website.
Grammatica-, spelfouten en opmaakfouten kunnen ook kwaadaardige berichten signaleren. Aanvallers volgen mogelijk geen bedrijfsstijlgidsen en hun e-mails bevatten soms onhandige formuleringen of inconsistente opmaak. Hoewel sommige oplichterijen zorgvuldig zijn gemaakt en er gepolijst uitzien, bevatten veel fouten die erop wijzen dat het geen legitieme bedrijfscommunicatie is.
Gebruikers moeten ook eventuele links in het bericht evalueren. Door met de muis over een link te gaan, kunnen ontvangers de bestemmings-URL zien. Als het adres niet overeenkomt met het officiële domein van DHL, mag het niet worden geopend. Aanvallers gebruiken vaak links die legitieme websites nabootsen door vergelijkbare namen of personages op te nemen die gemakkelijk over het hoofd te zien zijn. Deze misleidende adressen kunnen leiden tot phishingpagina’s die bedoeld zijn om inloggegevens of persoonlijke informatie te stelen.
Onverwachte verzoeken om betaling, persoonlijke gegevens of verificatie moeten ook als verdacht worden beschouwd. DHL en andere gerenommeerde vervoerders vragen klanten niet om gevoelige informatie via ongevraagde e-mails te verstrekken. Elke boodschap waarin inloggegevens, financiële informatie of identiteitsgegevens worden gevraagd, moet als frauduleus worden beschouwd, tenzij onafhankelijk geverifieerd.
Het herkennen van de tekenen van kwaadaardige e-mailcommunicatie is van vitaal belang, vooral nu aanvallers hun tactieken blijven verfijnen. Oplichting met pakketbezorging is nog steeds gebruikelijk omdat ze gebruikmaken van alledaagse ervaringen en moeilijk te onderscheiden zijn van echte berichten. Zorgvuldige inspectie en voorzichtig gedrag blijven de beste verdedigingsmiddelen tegen deze bedreigingen.