Prijevara putem e-pošte za procjenu dobavljača
Neočekivane e-poruke koje stvaraju osjećaj hitnosti uvijek treba tretirati s oprezom, posebno kada traže osjetljive informacije ili potiču korisnike da kliknu na poveznice. Kibernetički kriminalci često prikrivaju phishing kampanje kao legitimnu poslovnu komunikaciju u pokušaju da prevare primatelje i navedu ih da predaju povjerljive podatke. Takozvane e-poruke o 'evaluaciji dobavljača' o kojima se ovdje raspravlja nisu povezane ni sa kakvim stvarnim tvrtkama, organizacijama, izvođačima radova ili nabavnim tijelima. Umjesto toga, dio su phishing operacije krađe vjerodajnica osmišljene za kompromitiranje računa e-pošte i olakšavanje daljnjih prijevara.
Objašnjenje prijevare 'Ocjenjivanje dobavljača'
Lažne e-poruke obično stižu s naslovom "Dokument spreman za pregled" i predstavljaju se kao profesionalni poziv na ponudu vezan uz infrastrukturnu inicijativu navodno planiranu za početak drugog tromjesečja 2026. Primatelji se obavještavaju da su odabrani za pregled dokumenta Zahtjev za ponudu (RFQ) kao dio navodne prilike za procjenu dobavljača.
Kako bi poruka izgledala uvjerljivo, e-pošta sadrži ono što izgleda kao priložena PDF datoteka pod nazivom 'Bid_Invitation_RFQ_2026_Q2.pdf' uz gumb 'Review RFQ Securely'. Međutim, nijedan element nije legitimni privitak. Obje su jednostavno poveznice na koje se može kliknuti i koje preusmjeravaju korisnike na istu zlonamjernu web stranicu.
Poruka također pokušava izvršiti pritisak na primatelje da brzo reagiraju spominjanjem roka za slanje i prikazivanjem obavijesti poput „poveznica istječe za 20 dana“. Ove taktike hitnosti često se koriste u phishing napadima kako bi se smanjila vjerojatnost da će mete pažljivo pregledati e-poštu prije klika.
Kako funkcionira krađa vjerodajnica
Nakon što primatelj klikne lažni privitak ili gumb za pregled, preusmjerava se na lažnu stranicu za prijavu osmišljenu da imitira pouzdanog pružatelja usluga e-pošte. Ove phishing stranice često su vrlo sofisticirane i mogu automatski otkriti domenu e-pošte žrtve kako bi prikazale poznati portal za prijavu.
Na primjer, korisnici Gmaila mogu vidjeti zaslon za prijavu s temom Googlea, dok se korisnicima Outlooka može prikazati sučelje u stilu Microsofta. Ova personalizacija povećava vjerojatnost da će žrtve povjerovati da je stranica autentična.
Sve vjerodajnice unesene u lažni obrazac prenose se izravno napadačima. Budući da računi e-pošte često služe kao točke oporavka za druge online usluge, ukradeni podaci za prijavu mogu dovesti do raširenog kompromitiranja računa.
Zašto su ukradene vjerodajnice e-pošte opasne
Kompromitirani računi e-pošte mogu kibernetičkim kriminalcima pružiti opsežan pristup digitalnom životu žrtve. Nakon što napadači preuzmu kontrolu nad pristiglom poštom, mogu:
- Resetirajte lozinke za bankovne račune, račune za kupovinu, pohranu u oblaku ili račune društvenih mreža povezane s adresom e-pošte
- Čitanje osjetljivih komunikacija i financijskih informacija
- Slanje phishing e-poruka suradnicima, klijentima, prijateljima ili članovima obitelji
- Napadi kompromitiranja poslovne e-pošte (BEC) protiv poslodavaca
- Prodajte ukradeni pristup računu na podzemnim tržištima kibernetičkog kriminala
Rizici postaju još veći kada korisnici ponovno koriste istu lozinku na više računa. Jedna ukradena vjerodajnica može potencijalno otključati brojne povezane usluge.
Znakovi da je e-pošta lažna
Nekoliko pokazatelja otkriva zlonamjernu prirodu ove phishing kampanje. Navodna organizacija pošiljatelja i kontaktni podaci su izmišljeni, a poruka se uvelike oslanja na hitnost kako bi izazvala trenutnu akciju. Osim toga, lažni PDF privitak je samo prikrivena hiperveza, a ne legitimna datoteka.
Još jedan važan znak upozorenja je zahtjev za prijavu putem vanjske stranice. Legitimni procesi nabave ili ocjenjivanja dobavljača rijetko zahtijevaju od primatelja da provjere svoje vjerodajnice e-pošte putem nepovezanih poveznica trećih strana poslanih u neželjenim e-porukama.
Najvažnije je da bilo koji pružatelj e-pošte kojeg phishing stranica pokuša oponašati nema apsolutno nikakve veze sa samom prijevarom.
Potencijalni rizici od zlonamjernog softvera
Iako se ova konkretna kampanja prvenstveno fokusira na krađu vjerodajnica, slični phishing predlošci često se koriste za distribuciju zlonamjernog softvera. Kibernetički kriminalci obično koriste e-poštu kao metodu isporuke zlonamjernog softvera ugrađujući štetni sadržaj u privitke ili poveznice.
Prijetnje mogu distribuirati zaražene dokumente Microsoft Officea, PDF datoteke, ZIP ili RAR arhive, JavaScript datoteke ili izvršne programe. U mnogim slučajevima proces zaraze započinje tek nakon što žrtva otvori datoteku, omogući makroe ili ručno pokrene preuzeti softver.
Neke phishing kampanje u potpunosti izbjegavaju privitke i umjesto toga usmjeravaju žrtve na zlonamjerne web stranice koje mogu automatski pokrenuti preuzimanje zlonamjernog softvera ili prevariti korisnike da instaliraju lažna softverska ažuriranja i instalacijske programe.
Završne misli
E-mail kampanja 'Vendor Evaluation' je phishing prijevara maskirana kao legitimni poziv na podnošenje ponuda za poslovanje. Njezin je primarni cilj ukrasti vjerodajnice e-mail računa putem uvjerljive, ali lažne stranice za prijavu. E-mailovi nisu povezani ni s jednom autentičnom organizacijom, programom za upravljanje dobavljačima ili postupkom nabave.
Primatelji bi trebali izbjegavati interakciju s porukom, suzdržati se od klikanja na ugrađene poveznice ili gumbe i odmah izbrisati e-poruku. Oprez s neželjenom poslovnom komunikacijom ključan je za zaštitu osobnih podataka, korporativnih računa i financijske sigurnosti od sve sofisticiranijih kibernetičkih prijetnji.
System Messages
The following system messages may be associated with Prijevara putem e-pošte za procjenu dobavljača:
Subject: Document Ready for Review |
