Oplichting via e-mail met herziene factuur

Onverwachte e-mails, vooral die met facturen, betalingen of dringende zakelijke aangelegenheden, moeten altijd met de nodige voorzichtigheid worden behandeld. Cybercriminelen vermommen phishingaanvallen vaak als legitieme bedrijfscommunicatie om ontvangers te misleiden en gevoelige informatie te ontfutselen. De e-mailcampagne 'Revised Invoice' is een voorbeeld van zo'n dreiging.

Deze e-mails zijn niet gelieerd aan legitieme bedrijven, organisaties of entiteiten. In plaats daarvan maken ze deel uit van een operatie om inloggegevens te stelen, bedoeld om zakelijke e-mailaccountgegevens te bemachtigen en mogelijk complete bedrijfsomgevingen in gevaar te brengen.

Inhoud van het frauduleuze bericht

De phishingmails hebben doorgaans de volgende onderwerpregel:

'Financieel beheerbeleid_v4'

Het bericht is zogenaamd afkomstig van een entiteit genaamd 'Portfolio- en Financieel Management' en informeert de ontvangers dat er een herziene factuur beschikbaar is voor een niet nader gespecificeerd project. Ontvangers wordt gevraagd de ontvangst van het document te bevestigen, wat de communicatie een gevoel van legitimiteit en urgentie geeft.

De e-mail bevat een item met de titel 'Approve_Operational Tender Invoice PDF', dat als belangrijkste lokmiddel dient. Door erop te klikken worden gebruikers doorgestuurd naar een kwaadaardige website in plaats van dat een legitieme factuur wordt geopend.

Het portaal voor valse documenten

De ingesloten link leidt naar een phishingpagina op het domein 'dancing-froyo-1eba9c.netlify.app'. De website is zorgvuldig ontworpen om op een Adobe Acrobat-documentviewer te lijken en toont een vervalst bestand met de naam 'Approve_Operational_Policy_v4.pdf'.

Vervolgens verschijnt er een pop-upvenster met de melding dat het document vergrendeld is en dat identiteitsverificatie vereist is voordat toegang kan worden verleend. Het slachtoffer wordt gevraagd de volgende gegevens te verstrekken:

• Een zakelijk e-mailadres met de aanduiding 'Zakelijke identiteit (e-mail)'.
• Het bijbehorende e-mailwachtwoord

Er is feitelijk geen enkel document ontgrendeld. Het enige doel van de pagina is het verzamelen van inloggegevens en deze direct door te sturen naar de aanvallers die de campagne uitvoeren.

Waarom gestolen bedrijfsgegevens zo gevaarlijk zijn

Gehackte zakelijke e-mailaccounts kunnen cybercriminelen veel meer bieden dan alleen toegang tot één inbox. Zodra aanvallers geldige inloggegevens hebben bemachtigd, kunnen ze toegang krijgen tot bedrijfssystemen, interne communicatie, cloudopslagplatforms en gedeelde resources.

Gestolen accounts worden vaak misbruikt voor:

• Start aanvullende phishingcampagnes tegen collega's en zakenpartners.
• Toegang tot vertrouwelijke documenten en gevoelige bedrijfsinformatie.
• Voer aanvallen uit waarbij zakelijke e-mails worden gecompromitteerd.
• Imiteer je als werknemer of leidinggevende.
• Breid de inbraak uit over het hele netwerk van de organisatie.

De diefstal van een enkele set inloggegevens kan daarom uitgroeien tot een ernstig beveiligingsincident, met mogelijk financiële verliezen, datalekken en reputatieschade tot gevolg.

Malwarerisico’s die verder gaan dan diefstal van inloggegevens

Hoewel het voornaamste doel van de oplichting met de herziene factuur het verzamelen van inloggegevens is, worden dergelijke campagnes ook vaak gebruikt om malware te verspreiden.

Kwaadwillenden gebruiken regelmatig spam-e-mails om schadelijke bestanden of links te verspreiden. Bijlagen kunnen eruitzien als pdf-documenten, spreadsheets, gecomprimeerde archieven, uitvoerbare programma's of scripts. In sommige gevallen start het openen van het bestand of het inschakelen van functies zoals macro's het installatieproces van de malware.

Op dezelfde manier kunnen links in phishing-e-mails gebruikers doorverwijzen naar websites die automatisch schadelijke software downloaden of bezoekers ertoe aanzetten om handmatig schadelijke bestanden uit te voeren. De meeste infecties vereisen een zekere mate van gebruikersinteractie, waardoor waakzaamheid een cruciaal verdedigingsmechanisme is.

Hoe te reageren op de herziene factuur per e-mail?

Ontvangers van dit bericht dienen geen interactie aan te gaan met links, bijlagen of aanwijzingen die erin zijn opgenomen. Aangezien noch de zogenaamde entiteit 'Portfolio and Financial Management' noch enige legitieme organisatie aan deze campagne is verbonden, dient de e-mail als volledig frauduleus te worden beschouwd.

De veiligste aanpak is om het bericht onmiddellijk te verwijderen. Personen die hun inloggegevens al op de nepwebsite hebben ingevoerd, moeten hun wachtwoorden zo snel mogelijk wijzigen en de afdeling informatiebeveiliging of IT van hun organisatie op de hoogte stellen, zodat passende maatregelen kunnen worden genomen.

Slotgedachten

De e-mailfraude met de herziene factuur is een zorgvuldig opgezette phishingcampagne die gebruikmaakt van routinematige bedrijfsprocessen om inloggegevens voor zakelijke e-mails te stelen. Door zich voor te doen als een melding van een herziene factuur en slachtoffers door te sturen naar een nep-documentenportaal, proberen de aanvallers ongeautoriseerde toegang te krijgen tot bedrijfsaccounts en mogelijk hele organisaties te compromitteren.

Een gezonde dosis scepsis ten opzichte van onverwachte e-mails, het controleren van de authenticiteit van factuurgerelateerde berichten en het vermijden van ongevraagde inlogverzoeken blijven essentiële maatregelen om phishingaanvallen te voorkomen en gevoelige bedrijfsgegevens te beschermen.