Измама с имейл за оценка на доставчици

Неочакваните имейли, които създават усещане за неотложност, винаги трябва да се третират с повишено внимание, особено когато изискват чувствителна информация или насърчават потребителите да кликват върху връзки. Киберпрестъпниците често прикриват фишинг кампании като легитимни бизнес комуникации в опит да заблудят получателите и да им предоставят поверителни данни. Така наречените имейли за „оценка на доставчици“, обсъждани тук, не са свързани с реални компании, организации, изпълнители или организации за обществени поръчки. Вместо това те са част от фишинг операция за кражба на идентификационни данни, предназначена да компрометира имейл акаунти и да улесни по-нататъшни измами.

Обяснение на измамата „Оценка на доставчици“

Измамните имейли обикновено пристигат с тема „Документът е готов за преглед“ и се представят за професионална покана за участие в търг, свързана с инфраструктурна инициатива, за която се твърди, че е планирана за началото на второто тримесечие на 2026 г. Получателите биват информирани, че са били избрани да прегледат документ за искане за оферта (RFQ) като част от предполагаема възможност за оценка на доставчик.

За да изглежда съобщението убедително, имейлът съдържа нещо, което изглежда като прикачен PDF файл с име „Bid_Invitation_RFQ_2026_Q2.pdf“, заедно с бутон „Review RFQ Securely“. Нито един от елементите обаче не е легитимен прикачен файл. И двата са просто кликаеми връзки, които пренасочват потребителите към един и същ злонамерен уебсайт.

Съобщението също така се опитва да принуди получателите да действат бързо, като споменава краен срок за подаване и показва известия като „линкът изтича след 20 дни“. Тези тактики за спешност често се използват при фишинг атаки, за да се намали вероятността целите внимателно да проверят имейла, преди да кликнат върху него.

Как работи кражбата на идентификационни данни

След като получателят кликне върху фалшивия прикачен файл или бутона за преглед, той бива пренасочен към измамна страница за вход, предназначена да имитира надежден доставчик на имейл услуги. Тези фишинг страници често са много сложни и могат автоматично да открият имейл домейна на жертвата, за да покажат познат портал за вход.

Например, потребителите на Gmail могат да видят екран за вход с тема на Google, докато потребителите на Outlook може да видят интерфейс в стил Microsoft. Тази персонализация увеличава вероятността жертвите да повярват, че страницата е истинска.

Всички идентификационни данни, въведени в измамния формуляр, се предават директно на нападателите. Тъй като имейл акаунтите често служат като точка за възстановяване за други онлайн услуги, открадната информация за вход може да доведе до широко разпространено компрометиране на акаунти.

Защо откраднатите имейл идентификационни данни са опасни

Компрометираните имейл акаунти могат да предоставят на киберпрестъпниците широк достъп до дигиталния живот на жертвата. След като нападателите получат контрол над входящата поща, те могат:

• Нулирайте пароли за банкови акаунти, акаунти за пазаруване, облачно съхранение или акаунти в социалните мрежи, свързани с имейл адреса

• Четене на чувствителни съобщения и финансова информация

• Изпращайте фишинг имейли до колеги, клиенти, приятели или членове на семейството

• Провеждане на атаки за компрометиране на бизнес имейли (BEC) срещу работодатели

• Продавайте откраднат достъп до акаунти на подземни пазари за киберпрестъпления

Рисковете стават още по-големи, когато потребителите използват една и съща парола в множество акаунти. Едни откраднати идентификационни данни могат потенциално да отключат множество свързани услуги.

Признаци, че имейлът е измамен

Няколко индикатора разкриват злонамерения характер на тази фишинг кампания. Предполагаемата организация на подателя и данните за контакт са изфабрикувани, а съобщението разчита до голяма степен на спешност, за да провокира незабавни действия. Освен това, фалшивият PDF прикачен файл е просто прикрита хипервръзка, а не легитимен файл.

Друг основен предупредителен знак е искането за влизане през външна страница. Законните процеси за обществени поръчки или оценка на доставчици рядко изискват получателите да проверяват имейл адресите си чрез несвързани връзки към трети страни, изпратени в непоискани имейли.

Най-важното е, че който и доставчик на имейл услуги да се опита да имитира фишинг страницата, той няма абсолютно никаква връзка със самата измама.

Потенциални рискове от зловреден софтуер

Въпреки че тази конкретна кампания се фокусира основно върху кражба на идентификационни данни, подобни фишинг шаблони често се използват за разпространение на зловреден софтуер. Киберпрестъпниците обикновено използват имейла като метод за доставка на зловреден софтуер, като вграждат вредно съдържание в прикачени файлове или връзки.

Злонамерените лица могат да разпространяват заразени документи на Microsoft Office, PDF файлове, ZIP или RAR архиви, JavaScript файлове или изпълними програми. В много случаи процесът на заразяване започва едва след като жертвата отвори файла, активира макроси или ръчно стартира изтегления софтуер.

Някои фишинг кампании избягват изцяло прикачени файлове и вместо това насочват жертвите към злонамерени уебсайтове, способни автоматично да инициират изтегляния на зловреден софтуер или да подведат потребителите да инсталират фалшиви софтуерни актуализации и инсталатори.

Заключителни мисли

Имейл кампанията „Оценка на доставчици“ е фишинг измама, маскирана като легитимна покана за бизнес оферта. Основната ѝ цел е да открадне идентификационни данни за имейл акаунт чрез убедителна, но измамна страница за вход. Имейлите не са свързани с никаква автентична организация, програма за управление на доставчици или процес на обществени поръчки.

Получателите трябва да избягват взаимодействие със съобщението, да се въздържат от кликване върху вградени връзки или бутони и незабавно да изтрият имейла. Предпазливостта с непоискани бизнес комуникации е от съществено значение за защитата на личната информация, корпоративните акаунти и финансовата сигурност от все по-сложни киберзаплахи.