DHL kimliği gösteren kötü amaçlı bir e-posta kampanyası, açıldığında zararlı yazılım yükleyen bir ek dağıtıyor. E-postada konu satırı ” DHL Shipment Notification Ref ID: 44633179800 ” kullanılıyor ve DHL’nin gönderim evraklarının dijital kopyalarını gönderdiği iddia ediliyor. Mesaj, alıcıya dosyayı indirip açmasını ve belge açıldıktan sonra düzenlemeyi etkinleştirmesini söyler. E-posta kötü niyetlidir ve görmezden gelinmelidir.
E-posta, gönderim belgelerini içeren bir bildirim olarak sunulur. Ekli dosya, “Orijinal Gönderim Belgeleri [rastgele sayılar].docx” şeklinde adlandırılmış bir Word belgesidir. Bağlanma saldırının ana parçasıdır. Belge açıldığında, kullanıcıya düzenlemeyi etkinleştirmesini söyler. Bunu yapıldığında, dosyanın içine gömülü kötü amaçlı makro kod aktive olur. Aktif olduğunda, makro uzak sunuculardan ek kötü amaçlı yazılım indirmeye çalışır.
Bu kampanyadan alınan örneklerin analizi, belgenin bir Trojan indiricisi olduğunu gösteriyor. Makro çalıştıktan sonra, kötü amaçlı yazılım giriş kimlik bilgilerini toplayabilen, tarayıcı verilerini okuyabilen, tuş basmalarını kaydedebilecek veya cihaza uzaktan erişim sağlayabilen dosyaları alır. Bazı varyantlar daha fazla zararlı yazılım yüklemeye veya cihazı uzak bir komut sunucusuna bağlamaya çalışır. İşlem, kullanıcının düzenlemeyi etkinleştirmesine dayanır ve bu da kötü amaçlı kodun sistem fonksiyonlarına erişim sağlar.
Kötü niyetli e-posta, DHL markalamasını taklit ederek inandırıcı görünmesini sağlıyor. Saldırganlar, DHL’nin renklerini, düzen yapısını ve logo yerleşimini kullanarak gönderim bildirimine benzeyen bir mesaj oluştururlar. E-posta, resmi görünmek için konu satırında referans numarası gösterir. Ancak içerikte takip verileri, gönderici bilgileri, sevkiyat kökenleri veya kişiselleştirilmiş bilgiler yer almıyor. Mesajda DHL’in web sitesine bağlantılar bulunmuyor ve tamamen kullanıcıyı eki açmaya ikna etmeye dayanıyor.
Bu kampanyanın arkasındaki saldırganlar, DHL’nin küresel tanınırlığına güveniyor. İsim ve marka, alıcıların mesajın meşru olduğuna inanmasını teşvik eder, özellikle teslimat beklediklerinde veya kargo hizmetlerinde deneyim sahibi olduklarında. Dolandırıcılık, alıcının hızlı tepki vermesi, mesajı inanması ve kaynağı doğrulamadan dosyayı açması üzerine kuruludur. Kullanıcı düzenlemeyi etkinleştirdiğinde, cihaz tam zararlı yazılım yüküne maruz kalır.
Tam ” DHL Shipment Notification Ref ID: 44633179800 ” e-postası aşağıda:
Subject: DHL Shipment Notification Ref ID: 44633179800
Dear Customer,
Find attached the soft copies of your shipping documents to this email. kindly check to track your shipment status and print shipping documents.
We are pleased to provide you with delivery that fits your life.
Thanks and regards,
Ann-Kristine Johansson
Customer Service Director
DHL Express
GOGREEN – Environmental Protection with DHL
Kötü amaçlı e-postalar nasıl tanımlanır?
Zararlı e-postaları tespit etmek, kötü amaçlı yazılım bulaşmasını önlemek için çok önemlidir. Birkaç gösterge, kullanıcıların bir e-postanın şüpheli mi yoksa potansiyel olarak zararlı mı olduğunu belirlemelerine yardımcı olabilir. En net işaretlerden biri gönderenin adresidir. DHL, tüm müşteri iletişimi için resmi alan adları kullanıyor. Gmail gibi ücretsiz bir e-posta servisinden veya yabancı bir alan adından gelen herhangi bir e-postaya dikkatli yaklaşılmalıdır. Saldırganlar ayrıca kullanıcıları kandırmak için meşru alan adlarının çeşitli varyantlarını kullanabilirler, bu yüzden adresin yakından incelenmesi önemlidir.
Bir diğer kırmızı bayrak ise sevkiyatlarla ilgili genel selamlaşmalar veya belirsiz ifadeler kullanılmasıdır. Yasal şirketler genellikle müşterilere isimleriyle hitap eder veya özel sipariş detayları içerir. Dolandırıcılar genellikle “Değerli müşteri” veya “Sevkiyatınız geldi” gibi geniş ifadeleri bağlam vermeden kullanırlar. Kullanıcılar, talep etmedikleri teslimatlar veya beklemedikleri paketlerle ilgili beklenmedik e-postalara karşı dikkatli olmalıdır.
Bağlar büyük bir risk kaynağıdır. DHL genellikle takip bilgilerini resmi web sitesine bağlantılar üzerinden sağlar, ekli belgeler üzerinden değil. Kullanıcının düzenlemeyi veya makroları etkinleştirmesini gerektiren bir dosya, kötü niyetin güçlü bir göstergesidir. Kullanıcılar, özellikle gönderim belgeleri içerdiğini iddia eden istenmeyen ekler için düzenlemeyi asla etkinleştirmeli veya betikleri etkinleştirmemelidir. E-postada ek varsa, alıcılar mevcut siparişleri kontrol etmek veya resmi DHL web sitesini manuel ziyaret etmek gibi bağımsız kanallar aracılığıyla doğrulanmalıdır.
Dilbilgisi, yazım ve biçimlendirme hataları da kötü amaçlı mesajlar verebilir. Saldırganlar kurumsal stil rehberlerini takip etmeyebilir ve e-postalarında bazen garip ifadeler veya tutarsız biçimlendirmeler bulunur. Bazı dolandırıcılıklar özenle hazırlanmış ve kusursuz görünebilir, ancak birçoğu yasal kurumsal iletişim olmadığını gösteren hatalar içerir.
Kullanıcılar ayrıca mesajdaki bağlantıları da değerlendirmelidir. Bir bağlantının üzerine gelerek alıcılar hedef URL’yi görebilirler. Adres DHL’nin resmi alan adıyla eşleşmiyorsa, açılmamalıdır. Saldırganlar genellikle benzer isimler veya kolayca gözden kaçırılabilen karakterler dahil ederek gerçek web sitelerini taklit eden bağlantılar kullanırlar. Bu aldatıcı adresler, giriş bilgilerini veya kişisel bilgileri çalmaya yönelik oltalama sayfalarına yol açabilir.
Beklenmedik ödeme, kişisel veri veya doğrulama talepleri de şüpheli olarak değerlendirilmelidir. DHL ve diğer saygın operatörler, müşterilerden istenmeyen e-postalarla hassas bilgi vermelerini istemez. Giriş bilgileri, finansal bilgiler veya kimlik bilgileri talep eden herhangi bir mesaj, bağımsız olarak doğrulanmadıkça sahte olarak kabul edilmelidir.
Kötü amaçlı e-posta iletişiminin işaretlerini tanımak hayati önemde, özellikle saldırganlar taktiklerini geliştirmeye devam ederken. Paket teslimatı temalı dolandırıcılıklar, günlük deneyimleri sömürdükleri ve gerçek mesajlardan ayırt edilmesi zor olduğu için yaygın olmaya devam ediyor. Dikkatli inceleme ve temkinli davranış, bu tehditlere karşı en iyi savunmalar olarak kalır.