Het zou moeilijk zijn om een gebied van menselijke activiteit te vinden dat niet is getroffen door de coronavirus-pandemie, en de express leveringsdiensten vormen hier geen uitzondering op. De transportstroom tussen landen is verstoord en er is een tekort aan vrachtvliegtuigen aangezien mensen en bedrijven nog altijd producten bestellen, zowel binnen hun eigen land als vanuit het buitenland. De vraag naar sommige producten is zelfs omhoog geschoten.
Deze pieken in de vraag zorgen ervoor dat de levertijden langer worden. Hierdoor raken klanten eraan gewend dat ze verontschuldigende berichten ontvangen van bezorgdiensten met daarin een link naar de geüpdatete leveringsstatus. Onlangs hebben we een aantal nepsites en e-mails opgemerkt die zogenaamd van leveringsdiensten kwamen en gebruikmaakten van de pandemie. Fraudeurs gebruikten zowel beproefde trucs als nieuwe listen.
Spam met schadelijke bijlages
Spammers kunnen zich voordoen als werknemers van een koeriersdienst om slachtoffers te overtuigen om schadelijke e-mailbijlages te openen. De klassieke truc is om te zeggen dat om een bepaalde bestelling te kunnen ontvangen het slachtoffer eerst de informatie in een bijgevoegd bestand moeten lezen of bevestigen.
Bijvoorbeeld met een neppe e-mail van een leveringsmelding in gebroken Engels waarin staat dat een pakketje niet geleverd kan worden wegens de pandemie, en dat de ontvanger naar het magazijn moet komen om het zelf op te halen.
Het adres van het magazijn en andere details staan dan zogenaamd in de bijlage, die, als die geopend wordt, een Remcos-achterdeur op de computer installeert. Cybercriminelen kunnen de pc vervolgens op een botnet aansluiten, gegevens stelen of andere malware installeren.
De auteurs van nog een neppe leveringsmail gebruikten een vergelijkbare truc, waarbij werd gezegd dat het bedrijf het pakket niet kon leveren door een fout met etiketten. Het slachtoffer werd gevraagd om de informatie in de bijlage te bevestigen, die in werkelijkheid een ander lid van de Remcos-familie bevatte.
Soms voegen spammers afbeeldingen of documenten aan een bericht toe om het geloofwaardiger te laten lijken. In het onderstaande voorbeeld voegden scammers een kleine afbeelding aan de e-mailtekst toe. Dit leek een bon te zijn, maar het was te klein om te lezen en de grootte werd niet aangepast door erop te klikken, waardoor de ontvanger op de schadelijke bijlage zou klikken die in de naam “.jpg” bevatte.
Als de e-mailclient van de ontvanger de echte extensie van het bestand niet weergeeft, kunnen ze zo’n bijlage inderdaad voor een afbeelding aanzien. In werkelijkheid is het een uitvoerbaar ACE-bestand dat het spyware-programma Noon bevat.
Om te zorgen dat het slachtoffer haast maakt zeggen de cybercriminelen dat ze de ontbrekende informatie snel nodig hebben om het pakket nog voor de lockdown te kunnen leveren.
Een ander schadelijk e-mailonderwerp dat niet nieuw is maar vooral in het huidige klimaat relevant is, zijn vertraagde leveringen. Het scenario is erg geloofwaardig: de scammers wijzen het slachtoffer op een bijlage die de Bsymem Trojan bevat, die indien uitgevoerd de aanvallers in staat stelt om controle over het apparaat te krijgen en gegevens te stelen. Onderaan het bericht staat een melding dat de e-mail is gescand door een mailbeveiligingssysteem en dat er geen schadelijke bestanden of links inzitten, om de ontvanger zo een vals gevoel van veiligheid te geven.
Veel spammers voegen simpelweg een vermelding van COVID-19 aan hun gebruikelijke e-mailsjablonen toe, maar sommige focussen specifiek op de quarantaines en de snelle verspreiding van de pandemie.
In één geval had de regering bijvoorbeeld zogenaamd de import van goederen in het land verboden, dus het pakket werd teruggestuurd naar de verzender.
De bijlage bevatte zogezegd een trackingnummer voor de bestelling om een nieuwe levering te regelen nadat de corona-gerelateerde beperkingen zouden afnemen. Door het bestand te openen werd de Androm-achterdeur echter geïnstalleerd, die aanvallers op afstand toegang tot de computer biedt.
Phishing
Scammers die in phishing-aanvallen zijn gespecialiseerd doen ook hun voordeel met de chaos op de leveringsmarkt. We detecteerde zeer geloofwaardige kopieën van legitieme websites evenals valse trackingpagina’s. En die maakten natuurlijk allemaal melding van het coronavirus.
Phishers die zich bijvoorbeeld op accounts van werknemers van een koeriersdienst richtten kopieerden de officiële website van het bedrijf in detail, inclusief het laatste nieuws over de pandemie.
Niet minder gedetailleerd is deze kloon van de website van een andere koeriersdienst, die ook het laatste nieuws over het coronavirus vermeldt.
De makers van dit nepportaal voor het tracken van pakketten voegde COVID-19 toe aan de copyright-regel. Er staat weinig andere informatie op de pagina: een formulier voor het invoeren van inloggegevens en een lijst met “partner”-e-maildiensten. Het spreekt voor zich dat het invoeren van inloggegevens op deze pagina ervoor zorgt dat deze rechtstreeks naar de scammers gaan, en het lot van het pakket zal onbekend blijven.
Hoe voorkomt u dat u in deze trucs trapt?
In het licht van de pandemie en het grote aantal echte vertragingen van pakketten hebben nepwebsites en e-mails een goed kans op succes. Dit is zeker het geval als u echt een pakketje verwacht of als de leveringsdetails bijvoorbeeld naar uw werk-e-mail zijn verzonden en u reden hebt om te denken dat een collega een bestelling heeft geplaatst. Onderneem de volgende stappen om hier niet in te trappen:
- Kijk goed naar het adres van de afzender. Als het bericht van een gratis e-maildienst lijkt te komen of een betekenisloze reeks tekens in de mailbox-naam bevat, is het waarschijnlijk nep. Houd er echter rekening mee dat het mogelijk is om het verzendadres te vervalsen.
- Schenk aandacht aan de tekst. Een groot bedrijf zal nooit e-mails versturen met slecht opgemaakte tekst en slechte grammatica.
- Open geen bijlages in e-mails van koeriersdiensten, zeker niet als de verzender hier juist op aandringt. Log in plaats daarvan in op uw persoonlijke account op de website van de koeriersdienst, of voer het adres van de dienst handmatig in uw browser in om het tracknummer te controleren. Ga op dezelfde wijze te werk als u een e-mail ontvangt die erop aandringt dat u op een link klikt.
- Wees extra voorzichtig als een bericht melding maakt van het coronavirus. Cybercriminelen profiteren van actuele onderwerpen om uw aandacht te trekken, dus ga nooit zomaar zonder nadenken op zulke berichten in.
- Installeer een betrouwbaar beveiligingssysteem dat schadelijke bijlages detecteert en phishing-websites blokkeert.