威脅案例洞察
評分說明
在眾多的惡意郵件種類中,偽冒知名品牌的釣魚郵件一直都是最大宗,而其中偽冒知名物流業者 DHL 的釣魚郵件更是時常在品牌偽冒排行榜的前幾名。本文將透過近期由 Cellopoint 郵件安全防護系統截獲的一封假冒 DHL 名義發送的釣魚郵件來為您解析此類型的惡意郵件,並提供防護建議。
上方圖片為本文欲解析的偽冒 DHL 釣魚郵件,郵件內容大意為通知收件人的包裹已於 2024 年 1 月 1 日抵達地區郵局,然而由於投遞資訊不正確,快遞人員無法將包裹遞送給收件人。如欲收到包裹,請點擊此處並使用正確的詳細資訊追蹤交貨情況,以便繼續處理收件人的包裹配送。
根據郵件內容與郵件原始碼,可列出此郵件的幾點異常之處:
寄件人名稱與寄件地址不相符:寄件人名稱為「DHL-Express_Team」,但寄件人郵件地址卻非 DHL 官方所屬,而是「bayer@chongolin.shop」。
雖然此郵件的 DMARC 及 SPF 驗證都通過,但其實際的寄件來源網域並非 DHL 官方網域 (如下圖所示),試圖以合法掩蓋非法。
進一步查詢寄件人郵件地址網域「chongolin.shop」在 who.is 網站的記錄,可得知其註冊日期為 2023/9/24,由於註冊日期非常新,故可推測其註冊目的為發送垃圾郵件。
點擊郵件中按鈕所導向的連結為「https://kecikekurisi.com/.well-known/pki-validation/control_ikb.html?login=ted.chen@cellopoint.com&vcnt=100&pcnt=3&page=_dhl&pmax=pmax」,而當收件人點擊連結後會再跳轉至此連結「https://sunbrightasset.nl/_stalingrad_oxy/zure/b3b32a2d422265cd25c3323ed0157f81/_dhI/login.php?login&_x_tr_sl=auto&_x_tr_tl=null&_x_tr_hl=null&_x_tr_pto=wapp&pcnt=3&pmax=pmax」。不論是跳轉前或跳轉後的連結,都非來自 DHL 官方所屬的網域,而是未知網域。
跳轉前連結中的路徑中帶有收件人的郵件地址「ted.chen@cellopoint.com」,通常這也會被認為是相當可疑的點。
跳轉後的畫面如下圖所示,是一個仿照 DHL 官網製作的釣魚網站,表面上這看似是一個與官網無異的登入畫面,但仔細觀察即可發現此頁面雖與官方網站相似度極高,但其並非來自 DHL 的官方網域。
收件人的郵件地址被自動帶入至登入頁面的帳號欄位中,這很明顯是企圖引導收件人順勢填入與其電子郵件帳號相對應的登入密碼,以騙取登入資訊。
Cellopoint 郵件安全防護機制在第一時間就將此郵件攔截並判定為惡意郵件,因系統偵測到此郵件帶有下列幾點惡意郵件特徵:
此郵件有大量發送的行為。
Cellopoint 寄內郵件安全五層縱深防禦方案的 Anti-spam 模組會偵測此類型的郵件 pattern,同時也會搭配 IP 偵測、來源信譽評分等機制作綜合評估,經評估後此郵件被判定為釣魚郵件。
Cellopoint 寄內郵件安全五層縱深防禦方案的 Anti-APT-URL 模組亦偵測到郵件內含可疑連結,加上陌生的寄件來源,故判定此為高風險郵件。
Cellopoint 寄內郵件安全五層縱深防禦方案的 Anti-BEC 模組內含品牌偽冒偵測機制,偵測到此郵件的寄件人顯示名稱與 DHL 相似、其郵件 pattern 為惡意且帶有可疑連結,再加上陌生的寄件來源,故判定此郵件有品牌偽冒嫌疑。
針對此類的品牌偽冒釣魚郵件,在此提供下列幾項防護建議:
提升組織與個人的郵件安全意識,如進行相關培訓、社交工程演練、強化郵件安全管控。
選用可信賴的郵件安全防護系統商 (如 Cellopoint),建構即時、牢靠的郵件安全防護網。
收到可疑的郵件時,親自登入官方網站確認或可撥打 165 反詐騙專線諮詢。
參考 DHL 的防詐騙指南網頁 (https://www.dhl.com/tw-zh/home/footer/fraud-awareness.html),此頁面提供官方資訊以輔助使用者查證郵件資訊的真偽,故建議收件人如收到宣稱是來自 DHL 的通知郵件,可利用官方提供的資訊來判斷真偽。