Nesoulad mezi objednávkou a podvodnou fakturou

Odborníci na kybernetickou bezpečnost varují uživatele před rozšířeným e-mailovým podvodem známým jako „Neshoda mezi objednávkou a fakturou“. Tato podvodná kampaň si klade za cíl oklamat příjemce a přimět je, aby odhalili citlivé přihlašovací údaje nebo si stáhli malware. Stejně jako u jiných phishingových operací nejsou tyto klamavé e-maily spojeny s žádnými legitimními společnostmi, organizacemi ani poskytovateli služeb a měly by být okamžitě ignorovány.

Bližší pohled na podvodnou zprávu

Podvod začíná e-mailem, v němž se tvrdí, že existuje nesrovnalost mezi objednávkou a odpovídající fakturou. Příjemce je vyzván k přihlášení a ověření hesla, aby si mohl prohlédnout údajný rozdíl. Zpráva obvykle zvyšuje naléhavost tím, že uvádí, že platnost odkazu vyprší do 48 hodin a že pro pokračování je nutné potvrzení účetnictví.

Aby e-mail vypadal autenticky, často předstírá, že pochází od obchodního manažera, a obsahuje vymyšlené kontaktní informace. Může také obsahovat tlačítko s označením „Zobrazit nesrovnalost ve faktuře“, které údajně otevírá soubor s názvem „Payment_Advice.pdf“. Odkaz však vede na podvodnou webovou stránku, která napodobuje zabezpečenou platformu pro sdílení dokumentů.

Jak podvod funguje

Jakmile oběť klikne na škodlivý odkaz, je přesměrována na falešný přihlašovací portál. Tato stránka falešně tvrdí, že ke sdílenému souboru má přístup pouze zamýšlený příjemce a že platnost odkazu vyprší za pět dní. Oběti jsou požádány o zadání hesla pro „zobrazení“ dokumentu. Ve skutečnosti jsou veškeré zadané přihlašovací údaje okamžitě odeslány podvodníkům.

Po získání ukradených dat mohou kyberzločinci:

• Přístup k e-mailu, sociálním médiím nebo finančním účtům.
• Provádět podvodné transakce nebo krádeže identity.
• Odesílejte další phishingové zprávy z napadených účtů.
• Prodávejte ukradené informace dalším online škodlivým aktérům.

Zřejmé známky podvodu

Rozpoznání varovných signálů phishingových pokusů může pomoci předejít vážným narušením bezpečnosti. Mezi běžné ukazatele podvodu s nesouladem mezi objednávkou a fakturou patří:

• Reklamace nesrovnalostí ve fakturách nebo platbách.
• Naléhavé pokyny k přihlášení nebo ověření přihlašovacích údajů.
• Hrozby, že platnost odkazu vyprší během několika hodin nebo dnů.
• Obecné pozdravy jako například „Vážený zákazníku.“

• Překlepy, nekonzistentní formátování nebo podezřelé adresy odesílatelů.

• Vložené odkazy vedoucí na neznámé nebo chybně napsané domény.

Skrytá hrozba malwaru

Ačkoli se tato kampaň primárně zaměřuje na krádež přihlašovacích údajů, je také známo, že phishingové e-maily šíří malware. Útočníci mohou zahrnout infikované přílohy, jako jsou spustitelné soubory, dokumenty Office, PDF nebo komprimované archivy (ZIP, RAR). Otevření těchto souborů nebo povolení funkcí, jako jsou makra, by mohlo spustit infekci malwarem.

Škodlivé odkazy mohou také vést k napadeným webovým stránkám, které buď automaticky stahují škodlivý software, nebo uživatele lstí přimějí k ruční instalaci. Ve všech případech k infekci dochází pouze tehdy, když uživatel interaguje s klamavým e-mailem nebo jeho přílohami.

Ochrana před phishingovými útoky

Aby se uživatelé chránili před podobnými podvody, měli by dodržovat několik základních postupů kybernetické bezpečnosti:

• Před kliknutím na jakýkoli odkaz si vždy ověřte e-mailovou adresu odesílatele.
• Před návštěvou najeďte myší na hypertextové odkazy a zkontrolujte skutečnou destinaci.
• Neotevírejte přílohy z neznámých nebo nevyžádaných zpráv.
• Kdykoli je to možné, používejte vícefaktorové ověřování (MFA).
• Udržujte operační systémy a bezpečnostní software aktualizované.

Závěr

Podvod s objednávkou a fakturou je sofistikovaný phishingový pokus, který se spoléhá na naléhavost a podvod, aby ukradl přihlašovací údaje obětí nebo infikoval jejich systémy malwarem. Uživatelé by měli zůstat ostražití a vyvarovat se klikání na podezřelé odkazy nebo zadávání přihlašovacích údajů na neznámých webových stránkách. Rozpoznáním varovných signálů a praktikováním bezpečného prohlížení webu mohou jednotlivci i organizace výrazně snížit riziko, že se stanou obětí takových podvodných schémat.