Исследователи из X-Labs обнаружили фишинговую кампанию, нацеленную на обычных пользователей международной службы доставки DHL. Злоумышленники не пытаются взломать конкретные организации или государственные структуры. Их жертва - любой человек, ожидающий посылку и готовый поверить поддельному уведомлению. География атак не ограничена: под ударом оказываются пользователи по всему миру.
Описание
Особенность этой кампании не в высокой технической сложности, а в продуманной психологической инженерии. Главный элемент доверия - поддельный этап проверки с одноразовым кодом (OTP). Эта механика не выполняет никакой реальной аутентификации, но создаёт у жертвы стойкое ощущение, что система работает легитимно и защищает её данные.
Как устроена атака
Весь сценарий состоит из одиннадцати шагов, но для жертвы они сливаются в естественный и привычный процесс. Всё начинается с фишингового письма, которое маскируется под уведомление от DHL Express. Сообщение выглядит как запрос на подтверждение отправления или уточнение информации о накладной. Однако обратный адрес указывает на домен cupelva[.]com, который не имеет никакого отношения к DHL. Письмо проходит проверку DKIM (технология проверки подлинности отправителя) для этого подставного домена, что может ввести в заблуждение системы фильтрации, не проверяющие соответствие домена отправителя бренду.
Если пользователь переходит по ссылке из письма, он попадает на страницу, имитирующую интерфейс отслеживания посылок DHL. Отчёт X-Labs детально описывает, что происходит дальше. Перед жертвой появляется форма для ввода одноразового кода. Код якобы должен подтвердить, что пользователь имеет доступ к указанному адресу электронной почты или номеру телефона. На самом деле никакой код никуда не отправляется - он генерируется прямо в браузере клиента на языке JavaScript. Жертве предлагают просто переписать шестизначное число, которое уже отображено на экране.
Иллюзия проверки
Почему злоумышленники добавляют этот бессмысленный шаг? Они решают сразу три задачи. Во-первых, создаётся иллюзия безопасности: пользователь видит, что его защищают от несанкционированного доступа, и доверяет сайту ещё больше. Во-вторых, успешное прохождение "проверки" укрепляет доверие: жертва совершает действие, которое считает правильным, и готова продолжать. В-третьих, многошаговый процесс выглядит гораздо убедительнее, чем простая страница входа. Пользователь привык, что серьёзные сервисы требуют нескольких подтверждений, и воспринимает подделку как настоящий сервис.
Инженеры атаки добавили искусственную задержку в две секунды перед появлением поля для ввода кода. Этот приём - классический элемент социальной инженерии. Пауза создаёт впечатление, что система проверяет данные, связывается с сервером или отправляет сообщение. В действительности ничего не происходит, но эмоционально жертва уже настроена на сотрудничество.
Кража учётных данных
После ввода кода пользователь перенаправляется на второй этап - фишинговую страницу, стилизованную под портал входа в учётную запись DHL. Адрес страницы (biotechgroup[.]net) явно указывает на использование скомпрометированного или одноразового хостинга. На этой странице уже подставлен адрес электронной почты жертвы, полученный из URL предыдущего шага.
Пользователь видит знакомый интерфейс DHL с сообщением о посылке, узнаёт свой email и думает, что осталось лишь подтвердить пароль, чтобы завершить получение. На самом деле это главная ловушка. Страница запрашивает только одно - пароль от учётной записи. Для подтверждения доставки почтовой службе совершенно не нужен пароль получателя. Это грубый, но эффективный маркер мошенничества.
Сбор данных и вывод информации
Перед тем как отправить украденные данные, скрипт собирает о жертве максимально полную информацию. Через несколько публичных сервисов определяется внешний IP-адрес пользователя. По нему вычисляется примерное географическое положение: город, регион, страна. Дополнительно фиксируются тип устройства, операционная система, версия браузера, точное время визита и полный URL страницы. Весь этот пакет данных помогает злоумышленникам оценить ценность жертвы, отличить реального человека от автоматического сканера и подготовить дальнейшие атаки, такие как взлом других учётных записей или финансовое мошенничество.
Вывод украденной информации организован через сервис EmailJS - легитимную платформу для отправки электронных писем прямо из браузера. Злоумышленники редко используют собственные почтовые серверы, чтобы не оставлять следов. EmailJS позволяет им обойтись без сложной инфраструктуры: весь код выполняется на стороне клиента, а данные уходят на адрес slatty077@tutamail[.]com. После этого страница перенаправляет жертву на настоящий сайт DHL, создавая полную иллюзию успешного завершения процесса.
Выводы
Эта атака показательна именно своей простотой. В ней нет сложных эксплойтов, вредоносных вложений или изощрённых методов обхода защиты. Всё строится на доверии к знакомому бренду и привычным действиям пользователя. Поддельный OTP-код, задержка, подставной email в строке браузера - каждый элемент работает на одну цель: чтобы жертва не заподозрила обман до того момента, как пароль уже окажется у злоумышленников.
Единственный надёжный способ защиты - критическое отношение к любым запросам на ввод пароля, особенно если они приходят из неожиданных источников. Если страница доставки просит пароль от личного кабинета, это почти всегда мошенничество. И лучше проверить статус посылки напрямую через официальный сайт или приложение, чем доверять письму с подставного домена.
Индикаторы компрометации
URLs
- http://biotechgroup.net/aaaavbvvb/newengDHL.html?email=victim@example.com
- https://perfectgoc.com/aacggh/OTPWITCALLER.html?email=[victim@example.com]
Emails
- info@cupelva.com
- slatty077@tutamail.com
