Heimdal™ opdager ny GLS kreditkort svindel kampagne og har potentielt et billede af gerningsmanden
Ny GLS Spam-kampagne leverer et ondsindet link til ulovligt at kopiere ofrets kreditkort.
This post is also available in:
English
En ny GLS Spam-kampagne er i gang. Det virker via en e-mail, der informerer offeret om nogle detaljer, der skal udfyldes for en bestemt forsendelse. Den e-mail-tekst, vi har opsnappet, blev opdelt i flere HTML-spænder, så en NLP-netværksanalysatorer ikke kan markere indholdet som spam.
Den nye sofistikerede GLS Spam kampagne er i øjeblikket i gang, den udnytter avancerede slørings-teknikker såsom NLP ‘dodging’ for at omgå det almene spam-filter. Som nævnt fungerer det via en e-mail, der informerer offeret om nogle detaljer, der skal udfyldes for en bestemt forsendelse. Offeret skal klikke på det medfølgende link for at udføre et sæt instruktioner, et link, der, som navnet siger, vil føre til en side med “leveringsmuligheder”.
E-mailen informerer også om, at så snart pakken er betalt, vil den blive leveret. Det kan gælde yderligere forsendelsesgebyrer på 14,99 kr.
Denne type mail modtog vores administrerende direktør, Morten Kjærsgaard, søndag, mailen udgav sig for at være en legitim mail fra GLS Danmark.
På udskriftsskærmen nedenfor kan du se den oprindelige e-mail:
GLS SPAM-kampagne: Hvor kommer IP’en fra?
Vi ønskede at dykke yderligere ned i sagen og se, hvor denne mail kommer fra. Ved at bruge et gratis værktøj som IP Tracker var formålet at finde mere om denne IP-adresse.
Vi opdagede, at IP’en det kommer fra, er IP 209.85.220.41. Det ser ud til, at dette er en IP-adresse fra Nordamerika, USA, så det er bestemt ikke sendt af GLS Danmark.
Som det ser ud fra billedet ovenfor, har trusselsaktøren brugt en offentlig IPv4 – Version 4 fra C klasse rækkevidde.
Name serverne varierer fra 32 til 34 som set nedenfor:
Et nærmere kig på, hvordan denne phishing-kampagne fungerer
Når vi skitserer hændelsen, har Heimdal™ afdækket en ny avanceret GLS Spam kampagne. I modsætning til beslægtede kampagner, udnytter den nye GLS kreditkort phishing kampagne, NLP slørings teknikker, der gør meddelelsen ulæselig, når de forsøger at inspicere eller duplikere indholdet. Dens modus operandi ligner meget tidligere pakkeleverings phishing-svindel, hvorefter de får en e-mail, der informerer offeret om nogle detaljer, der skal udfyldes for en bestemt forsendelse. Offeret skal klikke på det medfølgende link for at udføre et sæt instruktioner, et link, der, som navnet siger, vil føre til en side med “leveringsmuligheder”.
Ved nærmere eftersyn af linkets oprindelse har vi opdaget, at brugeren ville være blevet omdirigeret til en forfalsket GLS-pakkesporings- og betalingsside. Et andet interessant aspekt ved e-mail-leveringssystemet er, at de ondsindede aktører anvendte alfanumeriske permutationer og / eller tilføjelser i et forsøg på at omgå spamfiltre. Yderligere midler til sløring blev ikke afsløret i løbet af undersøgelsen. Den højre kvalitet på den forfalskede GLS-side (se vedlagte billede) ville ikke have vakt mistanke da dens indhold, ligner den oprindelige danske side.
Hvis du forsøger at duplikere indholdet af meddelelsen, ville du have siddet tilbage med ulæselig tekst. Efterfølgende analyse viste, at API employed HTML span tags, ville have den ovennævnte effekt på denne tekst, hvis brugeren ville have forsøgt at interagere med det på en uventet måde. NLP formørkelse i denne grad beviser, at de fleste spam / phishing filtre fungerer under niveau, og giver farlige e-mails mulighed for at passere.
Phishing-kampagnen med kreditkortoplysninger var meget i fokus, da tidligere forsøg på at få adgang til siden mislykkedes. VPN-tunneling var en succes, og vores team kunne gengive sidens indhold ved hjælp af en Dansk VPN.
Trusselsscenariet er som følger: Brugeren blev via e-mail fortalt om, at en pakke venter. Efter de tilgår siden, ville brugeren have fået besked på at give alle nødvendige kreditkortoplysninger (dvs. kortnummer, udløbsdato og CVV2-kode) for at modtage pakken. Betalingsoplysningerne om den ekstra skat lød “GLS Porto [Skat]”. Handlingen ville være blevet fuldført ved at trykke på knappen “Betal”. Men ved nærmere undersøgelse blev det opdaget, at den forfalskede side blev formidlet af en API, hvis formål var at videresende kreditkortoplysningerne til en ukendt Telegram-konto, sporet til Tyrkiet, i udkanten af Istanbul.
Mens Heimdal™ ikke kan videregive yderligere oplysninger om gerningsmændene, kan vi oplyse, at dette er udarbejdet af en gruppe phishere, der kan have ulovligt erhvervet kreditkortoplysninger på over 3.000 danske statsborgere. Desuden har den pågældende API en bemærkelsesværdig botspredningshastighed, hvilket betyder, at de omsindende aktører har kapacitet (og infrastruktur) til at ramme mere end ét mål ad gangen. Efterforskningen er i gang. Vi opdaterer denne artikel, så snart nye oplysninger kommer frem i lyset.
Sådan beskytter du dig mod SPAM-e-mails
Her er nogle tips om, hvordan du holder dig væk fra SPAM e-mails:
- Sørg for, at din e-mail-adresse ikke er offentlig, så hackere nemt kan indsamle den og sende dig phishing-e-mails
- Hvis en e-mail virker mistænkelig, skal du sørge for ikke at klikke på linket, som i dette eksempel, især når du ikke ved, hvilken faktura de taler om. Du kan i stedet ringe til leveringsfirmaet og høre.
- du bør aldrig svare på en SPAM e-mail.
- sørg for, at du har SPAM-filtreringsværktøjer og antivirus software på plads.
- sørg for, at du er velinformeret. For eksempel nævner GLS specifikt på deres hjemmeside, at de aldrig sender sådanne e-mails:
GLS vil aldrig sende e-mails, der anmoder om, at varer betales ved hjælp af et online betalingssystem, kreditkort eller bankoverførsel. GLS tilbyder ikke en cash-on-delivery service. Leveringschauffører vil derfor ikke opkræve betalinger for pakker. Falske e-mails omfatter ofte stave- og grammatiske fejl samt slørede firmalogoer. Hvis afsenderen er ukendt, bør vedhæftede filer og links normalt ikke åbnes. GLS er ikke ansvarlig for skader som følge af svindel aktiviteter fra tredjeparter, der misbruger navnet GLS.
GLS rådgiver også om, hvad man skal kigge efter i tvivlstilfælde:
Vær opmærksom på, at hvis du modtager en GLS-pakkemeddelelse, vil følgende altid være tydeligt angivet:
– at det kommer fra GLS (f.eks. korrekt header)
– dit personlige pakkenummer
– hvem der sendte dig pakken
Hvordan kan Heimdal ™ hjælpe dig?
Heimdal™ er altid klar til enhver cybersikkerhedstrussel, der måtte opstå. Vi har to fantastiske produkter på e-mail-beskyttelse: Email Fraud Prevention og Email Security. Den første administrerer gennem 125 analyse vektorer for at blokere BEC (Business Email Compromise), CEO svindel, phishing e-mails, og malware. Falske fakturaer kan udløse enorme tab, og det er, hvad vores produkt hjælper med, stopper ondsindede e-mails, før de kan få dig til at tabe penge. Sidstnævnte kommer som en cloud og on-premises e-mail beskyttelse produkt, der vil fusionere Office 365 support med proprietære e-mail trussels forebyggelse for at stoppe malware der distribueres via e-mails og sørge for, at supply chain angreb ikke vil ske.