Измама с ревизирана фактура по имейл
Неочакваните имейли, особено тези, свързани с фактури, плащания или спешни бизнес въпроси, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често маскират фишинг атаки като легитимни корпоративни комуникации, за да подведат получателите да разкрият чувствителна информация. Имейл кампанията „Ревизирана фактура“ е една такава заплаха.
Тези имейли не са свързани с никакви легитимни компании, организации или юридически лица. Вместо това те са част от операция за събиране на идентификационни данни, предназначена да открадне идентификационни данни за корпоративни имейл акаунти и потенциално да компрометира цели бизнес среди.
Съдържание
Вътре в измамното съобщение
Фишинг имейлите обикновено пристигат със следната тема:
„Политика за финансово управление v4“
Съобщението твърди, че произхожда от организация, наречена „Управление на портфолио и финанси“, и информира получателите, че е налична ревизирана фактура за неопределен проект. Получателите се молят да потвърдят получаването на документа, което добавя усещане за легитимност и неотложност към комуникацията.
Имейлът съдържа елемент с надпис „Approve_Operational Tender Invoice PDF“, който служи като основна примамка. Щракването върху него пренасочва потребителите към злонамерен уебсайт, вместо да отварят истинска фактура.
Порталът за фалшиви документи
Вградената връзка води към фишинг страница, хоствана на домейна „dancing-froyo-1eba9c.netlify.app“. Уебсайтът е внимателно проектиран да наподобява програма за преглед на документи на Adobe Acrobat и показва фалшив файл с име „Approve_Operational_Policy_v4.pdf“.
След това се появява изскачащ прозорец, в който се твърди, че документът е заключен и че е необходима проверка на самоличността, преди да може да бъде предоставен достъп. Жертвата е подканена да предостави:
- Корпоративен имейл адрес, обозначен като „Корпоративна идентичност (имейл)“
- Съответната парола за имейл
Всъщност никой документ не е отключен. Единствената цел на страницата е да събира данни за вход и да ги предава директно на нападателите, управляващи кампанията.
Защо откраднатите корпоративни акредитиви са толкова опасни
Компрометираните корпоративни имейл акаунти могат да предоставят на киберпрестъпниците много повече от достъп до една-единствена пощенска кутия. След като нападателите получат валидни идентификационни данни, те могат да получат достъп до бизнес системи, вътрешни комуникации, платформи за съхранение в облак и споделени ресурси.
Откраднатите акаунти често се злоупотребяват с цел:
- Стартирайте допълнителни фишинг кампании срещу колеги и бизнес партньори
- Достъп до поверителни документи и чувствителна фирмена информация
- Провеждане на атаки за компрометиране на бизнес имейли
- Представяйте се за служители и ръководители
- Разширяване на проникването в мрежата на организацията
Кражбата на един-единствен набор от идентификационни данни може следователно да ескалира в сериозен инцидент със сигурността, потенциално водещ до финансови загуби, нарушения на данните и увреждане на репутацията.
Рискове от зловреден софтуер отвъд кражбата на идентификационни данни
Въпреки че основната цел на измамата с ревизирана фактура е събирането на идентификационни данни, кампании от този характер също често се използват за разпространение на зловреден софтуер.
Злонамерените лица редовно използват спам имейли, за да доставят злонамерени файлове или връзки. Прикачените файлове могат да се появяват като PDF документи, електронни таблици, компресирани архиви, изпълними програми или скриптове. В някои случаи отварянето на файла или активирането на функции като макроси инициира процеса на инсталиране на злонамерен софтуер.
По подобен начин, връзките, вградени във фишинг имейли, могат да пренасочат потребителите към уебсайтове, които автоматично изтеглят злонамерен софтуер или да убедят посетителите ръчно да стартират вредни файлове. Повечето инфекции изискват известна степен на взаимодействие с потребителя, което прави бдителността критичен защитен механизъм.
Как да отговорите на имейла с ревизирана фактура
Получателите, които получат това съобщение, трябва да избягват взаимодействие с каквито и да е връзки, прикачени файлове или подкани, съдържащи се в него. Тъй като нито предполагаемата организация „Управление на портфолио и финанси“, нито която и да е легитимна организация са свързани с тази кампания, имейлът трябва да се счита за изцяло измамен.
Най-безопасният начин на действие е незабавното изтриване на съобщението. Лицата, които вече са въвели своите идентификационни данни на фалшивия уебсайт, трябва незабавно да променят паролите си и да уведомят отдела за информационна сигурност или ИТ отдела на своята организация, за да могат да бъдат приложени подходящи мерки за ограничаване.
Заключителни мисли
Измамата с ревизирана фактура по имейл е внимателно разработена фишинг кампания, която използва рутинни бизнес процеси, за да открадне корпоративни имейл идентификационни данни. Като се маскират като известие за ревизирана фактура и насочват жертвите към портал за фалшиви документи, нападателите се опитват да получат неоторизиран достъп до бизнес акаунти и потенциално да компрометират цели организации.
Поддържането на здравословно ниво на скептицизъм към неочаквани имейли, проверката на автентичността на комуникациите, свързани с фактури, и избягването на непоискани заявки за вход остават основни практики за предотвратяване на фишинг атаки и защита на чувствителна корпоративна информация.
System Messages
The following system messages may be associated with Измама с ревизирана фактура по имейл:
Subject: Financial Management_Policy_v4 |