Estafa de correu electrònic de factura revisada

Els correus electrònics inesperats, especialment els que impliquen factures, pagaments o assumptes comercials urgents, sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint disfressen els atacs de phishing com a comunicacions corporatives legítimes per enganyar els destinataris perquè revelin informació confidencial. La campanya de correu electrònic "Factura revisada" és una d'aquestes amenaces.

Aquests correus electrònics no estan associats a cap empresa, organització o entitat legítima. En canvi, formen part d'una operació de recopilació de credencials dissenyada per robar les credencials dels comptes de correu electrònic corporatius i potencialment comprometre entorns empresarials sencers.

Dins del missatge fraudulent

Els correus electrònics de phishing solen arribar amb l'assumpte:

'Política_de_gestió_financera_v4'

El missatge afirma que prové d'una entitat anomenada "Gestió Financera i de Cartera" i informa els destinataris que hi ha disponible una factura revisada per a un projecte no especificat. Es demana als destinataris que accusin recepció del document, cosa que afegeix un sentit de legitimitat i urgència a la comunicació.

El correu electrònic inclou un element anomenat "Aprova_PDF de la factura de l'oferta operativa", que serveix com a esquer principal. En fer-hi clic, els usuaris es redirigeixen a un lloc web maliciós en comptes d'obrir una factura genuïna.

El portal de documents falsos

L'enllaç incrustat porta a una pàgina de phishing allotjada al domini "dancing-froyo-1eba9c.netlify.app". El lloc web està dissenyat amb cura per semblar-se a un visor de documents d'Adobe Acrobat i mostra un fitxer falsificat anomenat "Approve_Operational_Policy_v4.pdf".

Aleshores apareix una finestra emergent que indica que el document està bloquejat i que cal verificar la identitat abans de poder-hi accedir. Es demana a la víctima que proporcioni:

• Una adreça de correu electrònic corporativa etiquetada com a "Identitat corporativa (correu electrònic)"
• La contrasenya del correu electrònic corresponent

Cap document està realment desbloquejat. L'únic propòsit de la pàgina és recopilar les credencials d'inici de sessió i transmetre-les directament als atacants que operen la campanya.

Per què les credencials corporatives robades són tan perilloses

Els comptes de correu electrònic corporatius compromesos poden proporcionar als ciberdelinqüents molt més que accés a una única safata d'entrada. Un cop els atacants obtinguin credencials vàlides, poden accedir a sistemes empresarials, comunicacions internes, plataformes d'emmagatzematge al núvol i recursos compartits.

Els comptes robats s'utilitzen amb freqüència de manera abusiva per:

• Llançar campanyes de phishing addicionals contra companys de feina i socis comercials
• Accedir a documents confidencials i informació sensible de l'empresa
• Realitzar atacs de compromís de correu electrònic empresarial
• Fer-se passar per empleats i directius
• Expandir la intrusió a la xarxa de l'organització

Per tant, el robatori d'un únic conjunt de credencials pot convertir-se en un incident de seguretat important, que pot provocar pèrdues financeres, filtracions de dades i danys a la reputació.

Riscos de programari maliciós més enllà del robatori de credencials

Tot i que l'objectiu principal de l'estafa de la Factura Revisada és la recopilació de credencials, campanyes d'aquesta naturalesa també s'utilitzen habitualment per distribuir programari maliciós.

Els actors amenaçadors utilitzen regularment correus electrònics brossa per lliurar fitxers o enllaços maliciosos. Els fitxers adjunts poden aparèixer com a documents PDF, fulls de càlcul, arxius comprimits, programes executables o scripts. En alguns casos, obrir el fitxer o habilitar funcions com ara macros inicia el procés d'instal·lació de programari maliciós.

De la mateixa manera, els enllaços incrustats als correus electrònics de phishing poden redirigir els usuaris a llocs web que descarreguen automàticament programari maliciós o persuadir els visitants perquè executin manualment fitxers nocius. La majoria de les infeccions requereixen un cert grau d'interacció de l'usuari, cosa que converteix la vigilància en un mecanisme de defensa crític.

Com respondre al correu electrònic de la factura revisada

Els destinataris que rebin aquest missatge han d'evitar interactuar amb qualsevol enllaç, fitxer adjunt o sol·licitud que contingui. Com que ni la suposada entitat de "Gestió de Cartera i Finances" ni cap organització legítima estan connectades a aquesta campanya, el correu electrònic s'ha de considerar completament fraudulent.

El més segur és suprimir el missatge immediatament. Les persones que ja hagin introduït les seves credencials al lloc web fals haurien de canviar les seves contrasenyes sense demora i notificar-ho al departament de seguretat de la informació o a l'informàtica de la seva organització perquè es puguin implementar les mesures de contenció adequades.

Reflexions finals

L'estafa de correu electrònic de Factura Revisada és una campanya de phishing acuradament elaborada que explota els processos empresarials rutinaris per robar les credencials de correu electrònic corporatives. En fer-se passar per una notificació de factura revisada i dirigir les víctimes a un portal de documents falsificats, els atacants intenten obtenir accés no autoritzat als comptes empresarials i potencialment comprometre organitzacions senceres.

Mantenir un nivell saludable d'escepticisme envers els correus electrònics inesperats, verificar l'autenticitat de les comunicacions relacionades amb les factures i evitar les sol·licituds d'inici de sessió no sol·licitades continuen sent pràctiques essencials per prevenir atacs de phishing i protegir la informació corporativa sensible.