Απάτη μέσω email αξιολόγησης προμηθευτών

Τα μη αναμενόμενα email που δημιουργούν μια αίσθηση επείγοντος θα πρέπει πάντα να αντιμετωπίζονται με προσοχή, ειδικά όταν ζητούν ευαίσθητες πληροφορίες ή ενθαρρύνουν τους χρήστες να κάνουν κλικ σε συνδέσμους. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τις καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) ως νόμιμες επιχειρηματικές επικοινωνίες, σε μια προσπάθεια να εξαπατήσουν τους παραλήπτες ώστε να παραδώσουν εμπιστευτικά δεδομένα. Τα λεγόμενα email "Αξιολόγησης Προμηθευτών" που συζητούνται εδώ δεν συνδέονται με καμία πραγματική εταιρεία, οργανισμό, εργολάβο ή φορέα προμηθειών. Αντίθετα, αποτελούν μέρος μιας επιχείρησης ηλεκτρονικού "ψαρέματος" (phishing) κλοπής διαπιστευτηρίων που έχει σχεδιαστεί για να θέσει σε κίνδυνο λογαριασμούς email και να διευκολύνει περαιτέρω απάτη.

Η απάτη «Αξιολόγηση Προμηθευτή» εξηγείται

Τα απάτη μέσω email συνήθως φτάνουν με θέμα «Έγγραφο έτοιμο για έλεγχο» και παρουσιάζονται ως επαγγελματική πρόσκληση υποβολής προσφορών που σχετίζεται με μια πρωτοβουλία υποδομής που φέρεται να έχει προγραμματιστεί για τις αρχές του δεύτερου τριμήνου του 2026. Οι παραλήπτες ενημερώνονται ότι έχουν επιλεγεί για να ελέγξουν ένα έγγραφο Αίτησης Υποβολής Προσφοράς (RFQ) στο πλαίσιο μιας υποτιθέμενης ευκαιρίας αξιολόγησης προμηθευτή.

Για να φαίνεται πειστικό το μήνυμα, το email περιέχει κάτι που μοιάζει με ένα συνημμένο αρχείο PDF με το όνομα 'Bid_Invitation_RFQ_2026_Q2.pdf' μαζί με ένα κουμπί 'Review RFQ Securely'. Ωστόσο, κανένα από τα δύο στοιχεία δεν αποτελεί νόμιμο συνημμένο. Και τα δύο είναι απλώς σύνδεσμοι με δυνατότητα κλικ που ανακατευθύνουν τους χρήστες στον ίδιο κακόβουλο ιστότοπο.

Το μήνυμα επιχειρεί επίσης να πιέσει τους παραλήπτες να ενεργήσουν γρήγορα, αναφέροντας μια προθεσμία υποβολής και εμφανίζοντας ειδοποιήσεις όπως «ο σύνδεσμος λήγει σε 20 ημέρες». Αυτές οι τακτικές επείγουσας ανάγκης χρησιμοποιούνται συνήθως σε επιθέσεις ηλεκτρονικού «ψαρέματος» (phishing) για να μειωθεί η πιθανότητα οι στόχοι να ελέγξουν προσεκτικά το email πριν κάνουν κλικ.

Πώς λειτουργεί η κλοπή διαπιστευτηρίων

Μόλις ένας παραλήπτης κάνει κλικ στο κουμπί ψεύτικου συνημμένου ή αναθεώρησης, ανακατευθύνεται σε μια δόλια σελίδα σύνδεσης που έχει σχεδιαστεί για να μιμείται έναν αξιόπιστο πάροχο υπηρεσιών email. Αυτές οι σελίδες ηλεκτρονικού "ψαρέματος" (phishing) είναι συχνά εξαιρετικά εξελιγμένες και ενδέχεται να εντοπίσουν αυτόματα τον τομέα email του θύματος για να εμφανίσουν μια οικεία πύλη σύνδεσης.

Για παράδειγμα, οι χρήστες του Gmail ενδέχεται να βλέπουν μια οθόνη σύνδεσης με θέμα την Google, ενώ οι χρήστες του Outlook ενδέχεται να βλέπουν μια διεπαφή τύπου Microsoft. Αυτή η εξατομίκευση αυξάνει την πιθανότητα τα θύματα να πιστέψουν ότι η σελίδα είναι γνήσια.

Οποιαδήποτε διαπιστευτήρια εισάγονται στην δόλια φόρμα διαβιβάζονται απευθείας στους εισβολείς. Επειδή οι λογαριασμοί email συχνά χρησιμεύουν ως σημείο ανάκτησης για άλλες διαδικτυακές υπηρεσίες, τα κλεμμένα στοιχεία σύνδεσης μπορούν να οδηγήσουν σε εκτεταμένη παραβίαση λογαριασμών.

Γιατί τα κλεμμένα διαπιστευτήρια ηλεκτρονικού ταχυδρομείου είναι επικίνδυνα

Οι παραβιασμένοι λογαριασμοί email μπορούν να παρέχουν στους κυβερνοεγκληματίες εκτεταμένη πρόσβαση στην ψηφιακή ζωή ενός θύματος. Μόλις οι εισβολείς αποκτήσουν τον έλεγχο ενός inbox, ενδέχεται να:

Οι κίνδυνοι γίνονται ακόμη μεγαλύτεροι όταν οι χρήστες επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς. Ένα μόνο κλεμμένο διαπιστευτήριο μπορεί ενδεχομένως να ξεκλειδώσει πολλές συνδεδεμένες υπηρεσίες.

Σημάδια ότι το email είναι παραπλανητικό

Αρκετοί δείκτες αποκαλύπτουν την κακόβουλη φύση αυτής της καμπάνιας ηλεκτρονικού "ψαρέματος" (phishing). Η υποτιθέμενη οργάνωση και τα στοιχεία επικοινωνίας του αποστολέα είναι κατασκευασμένα και το μήνυμα βασίζεται σε μεγάλο βαθμό στην επείγουσα ανάγκη για να προκαλέσει άμεση δράση. Επιπλέον, το ψεύτικο συνημμένο PDF είναι απλώς ένας μεταμφιεσμένος υπερσύνδεσμος και όχι ένα νόμιμο αρχείο.

Ένα άλλο σημαντικό προειδοποιητικό σημάδι είναι το αίτημα σύνδεσης μέσω εξωτερικής σελίδας. Οι νόμιμες διαδικασίες προμηθειών ή αξιολόγησης προμηθευτών σπάνια απαιτούν από τους παραλήπτες να επαληθεύσουν τα διαπιστευτήρια ηλεκτρονικού ταχυδρομείου τους μέσω μη σχετικών συνδέσμων τρίτων που αποστέλλονται σε ανεπιθύμητα email.

Το πιο σημαντικό είναι ότι όποιον πάροχο email προσπαθεί να μιμηθεί η σελίδα ηλεκτρονικού "ψαρέματος" (phishing) δεν έχει καμία απολύτως σχέση με την ίδια την απάτη.

Πιθανοί κίνδυνοι κακόβουλου λογισμικού

Παρόλο που αυτή η συγκεκριμένη καμπάνια επικεντρώνεται κυρίως στην κλοπή διαπιστευτηρίων, παρόμοια πρότυπα ηλεκτρονικού "ψαρέματος" (phishing) συχνά επαναχρησιμοποιούνται για τη διανομή κακόβουλου λογισμικού. Οι κυβερνοεγκληματίες χρησιμοποιούν συνήθως το email ως μέθοδο παράδοσης κακόβουλου λογισμικού, ενσωματώνοντας επιβλαβές περιεχόμενο μέσα σε συνημμένα ή συνδέσμους.

Οι απειλητικοί παράγοντες ενδέχεται να διανέμουν μολυσμένα έγγραφα του Microsoft Office, αρχεία PDF, αρχεία ZIP ή RAR, αρχεία JavaScript ή εκτελέσιμα προγράμματα. Σε πολλές περιπτώσεις, η διαδικασία μόλυνσης ξεκινά μόνο αφού το θύμα ανοίξει το αρχείο, ενεργοποιήσει τις μακροεντολές ή εκτελέσει χειροκίνητα το λογισμικό που έχει ληφθεί.

Ορισμένες καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) αποφεύγουν εντελώς τα συνημμένα και αντ' αυτού κατευθύνουν τα θύματα σε κακόβουλους ιστότοπους που είναι ικανοί να ξεκινήσουν αυτόματα λήψεις κακόβουλου λογισμικού ή να εξαπατήσουν τους χρήστες ώστε να εγκαταστήσουν ψεύτικες ενημερώσεις λογισμικού και προγράμματα εγκατάστασης.

Τελικές Σκέψεις

Η καμπάνια μέσω email «Αξιολόγηση Προμηθευτών» είναι μια απάτη ηλεκτρονικού «ψαρέματος» (phishing) που μεταμφιέζεται σε νόμιμη πρόσκληση για προσφορά επιχείρησης. Ο κύριος στόχος της είναι η κλοπή διαπιστευτηρίων λογαριασμού email μέσω μιας πειστικής αλλά δόλιας σελίδας σύνδεσης. Τα email δεν συνδέονται με κανέναν αυθεντικό οργανισμό, πρόγραμμα διαχείρισης προμηθευτών ή διαδικασία προμηθειών.

Οι παραλήπτες θα πρέπει να αποφεύγουν την αλληλεπίδραση με το μήνυμα, να μην κάνουν κλικ σε ενσωματωμένους συνδέσμους ή κουμπιά και να διαγράφουν αμέσως το email. Η προσεκτική αντιμετώπιση των ανεπιθύμητων επιχειρηματικών επικοινωνιών είναι απαραίτητη για την προστασία των προσωπικών πληροφοριών, των εταιρικών λογαριασμών και της οικονομικής ασφάλειας από ολοένα και πιο εξελιγμένες κυβερνοαπειλές.