У вашому обліковому записі виявлено конфлікт IP-адрес. Шахрайство з електронною поштою.

Дослідники з безпеки виявили періодичну фішингову кампанію, яка попереджає одержувачів про нібито «конфлікт IP-адрес» в їхньому поштовому обліковому записі. Ці повідомлення видають себе за термінові сповіщення безпеки, в яких стверджується, що обліковий запис буде обмежено або закрито, якщо користувач негайно його не підтвердить. Насправді ж електронні листи є пасткою соціальної інженерії: їхня єдина мета — збір облікових даних для входу та, в деяких випадках, поширення шкідливого програмного забезпечення. Ці повідомлення не надсилаються жодною законною компанією, постачальником послуг чи організацією.

Що стверджують Послання

В електронних листах зазвичай стверджується, що в цільовій поштовій скриньці виявлено кілька IP-адрес або підключень, і що для захисту сервісу та інших користувачів постачальник послуг обмежить доступ, якщо власник не підтвердить обліковий запис. Для швидкого натискання додається велика, очевидна кнопка заклику до дії (наприклад, «Підтвердьте свій обліковий запис»). Мова, форматування та візуальний дизайн можуть виглядати переконливо — деякі кампанії ретельно складені, щоб імітувати сповіщення реальних постачальників, — тому одержувачі, які діють без перевірки джерела, можуть легко потрапити в пастку.

Як працює фішинг

Натискання кнопки підтвердження перенаправляє жертву на підроблену сторінку входу, яка виглядає як справжня форма входу до електронної пошти. Будь-яке ім'я користувача та пароль, введені на цій сторінці, перехоплюються зловмисником та надсилаються йому. Після викрадення облікових даних зловмисники можуть увійти в обліковий запис та використовувати його багатьма зловмисними способами: витягувати особисту інформацію, скидати паролі для інших служб, видавати себе за користувача для шахрайства з контактами або надсилати більше фішингового/шкідливого програмного забезпечення до адресної книги жертви.

Зазвичай цільові дані включають:

• Логіни та паролі облікових записів.
• Персональна інформація (ім'я, дата народження, контактні дані).
• Фінансові дані та деталі транзакцій.
• Будь-які дані, що зберігаються або доступні через скомпрометовану поштову скриньку (рахунки-фактури, електронні листи зі скиданням облікового запису, посилання на інші облікові записи).

Ризики та сценарії зловживань

Зламаний обліковий запис електронної пошти – це шлях до ширшої шкоди. Зловмисники можуть видобувати особисті документи та повідомлення, які розкривають банківські, торгові або облікові записи соціальних мереж. Вони можуть використовувати виданий обліковий запис, щоб запитувати позики чи пожертви у друзів, просувати інші шахрайські програми, розповсюджувати шкідливе програмне забезпечення або здійснювати шахрайські покупки, де доступні збережені платіжні дані. Викрадені фінансові послуги можуть безпосередньо призвести до несанкціонованих транзакцій та грошових втрат. Крадіжка особистих даних та довгострокова шкода конфіденційності є поширеними наслідками таких порушень.

Вектори для мальспаму

Ці кампанії не обмежуються крадіжкою облікових даних — деякі електронні листи містять шкідливі вкладення або посилання, що розповсюджують шкідливе програмне забезпечення (malspam). Загрози надходять у багатьох типах файлів: виконувані програми, стиснуті архіви (ZIP/RAR), документи Office (часто на основі макросів), PDF-файли, файли JavaScript або вбудовані корисні навантаження всередині файлів типу нотаток. У деяких випадках простого відкриття файлу достатньо для запуску зараження; в інших користувач повинен увімкнути макроси або натиснути вбудовані посилання, щоб запустити завантажувальний модуль.

Як розпізнати підробку

• Несподівана терміновість або погрози негайного призупинення роботи.
• Загальні вітання та суперечливі або дивні адреси відправників.
• Посилання, що ведуть на незнайомі домени або URL-адреси, що не відповідають передбачуваному постачальнику.
• Запити на повторне введення облікових даних надсилаються через посилання в електронній пошті, а не через офіційний вебсайт чи додаток.
• Невідповідний брендинг, незвичайні вкладення або запити на ввімкнення макросів чи завантаження файлів.

Заключні нотатки

Ці попередження про «конфлікт IP-адрес» є шахрайством із застосуванням соціальної інженерії, яке використовує страх і терміновість. Оскільки зловмисники все частіше створюють переконливі, добре відформатовані підробки, вважайте будь-яке небажане повідомлення безпеки підозрілим, доки його не перевірять офіційними каналами. Не використовуйте посилання електронної пошти для входу та не надавайте конфіденційну інформацію; натомість відвідайте справжній веб-сайт безпосередньо, увімкніть багатофакторну автентифікацію (MFA) та негайно повідомляйте про будь-яку підозрілу активність.