Oszustwo e-mailowe z ofertami i szczegółami technicznymi

Cyberprzestępcy nieustannie udoskonalają swoje taktyki, aby fałszywe e-maile wydawały się przekonujące, dlatego czujność jest niezbędna, gdy w skrzynce odbiorczej pojawi się nieoczekiwana wiadomość. Nawet e-maile, które wydają się profesjonalne i związane z biznesem, mogą być starannie sfabrykowanymi oszustwami, mającymi na celu kradzież poufnych informacji. Kampania e-mailowa „Quotation And Technical Details” (Oferta i szczegóły techniczne) jest jednym z takich zagrożeń. Chociaż wiadomości rzekomo pochodzą od firmy Bayerische Industrie GmbH, nie są one powiązane z żadną legalną firmą, organizacją ani podmiotem. Są one częścią operacji phishingowej mającej na celu zdobycie danych uwierzytelniających konta e-mail.

Zapytanie biznesowe, które nie jest tym, czym się wydaje

Oszustwo „Wycena i szczegóły techniczne” to kampania phishingowa podszywająca się pod prawdziwe zapytanie biznesowe. Odbiorcy otrzymują wiadomość e-mail z tematem „Zapytanie biznesowe – prośba o specyfikacje techniczne”, rzekomo wysłaną przez osobę o nazwisku Felix Wagner, podającą się za koordynatora ds. relacji biznesowych w firmie Bayerische Industrie GmbH.

Wiadomość zazwyczaj twierdzi, że nadawca odkrył firmę odbiorcy w Internecie i jest zainteresowany uzyskaniem informacji o cenach, terminach realizacji, specyfikacjach technicznych i katalogu produktów. Imitując rutynowe zapytanie handlowe, oszuści próbują zmylić podejrzenia i zachęcić odbiorców do interakcji z wiadomością.

Jak oszustwo tworzy fałszywe poczucie legalności

Aby zwiększyć wiarygodność, w wiadomości e-mail zamieszczono odniesienia do dokumentacji technicznej oraz przycisk z napisem „Przejrzyj załączoną dokumentację”. Wiadomość może również zawierać wzmiankę o pliku specyfikacji PDF, co może sugerować, że dostępne są ważne dokumenty biznesowe do wglądu.

Podany link nie prowadzi jednak do legalnego załącznika. Zamiast tego przekierowuje użytkowników na stronę phishingową hostowaną w infrastrukturze Google Cloud Storage. Korzystanie z renomowanej platformy chmurowej sprawia, że fałszywa strona wydaje się bardziej wiarygodna i może skłonić odbiorców do dalszej interakcji z nią.

Co ważne, Bayerische Industrie GmbH nie ma nic wspólnego z tymi e-mailami. Atakujący po prostu wykorzystują nazwę i reputację firmy, aby ich oszustwo wydawało się autentyczne.

Pułapka portalu fałszywych dokumentów

Po kliknięciu linku ofiary zostają przeniesione na fałszywą stronę internetową przypominającą stronę do udostępniania plików na Dysku Google. Strona może zawierać pozornie legalne dokumenty biznesowe, takie jak zamówienia zakupu, specyfikacje techniczne i umowy.

Gdy użytkownicy próbują otworzyć jeden z tych plików, pojawia się okno dialogowe zatytułowane „Wyświetl zabezpieczony dokument”. Zamiast udostępniać dokument, okno dialogowe prosi o podanie adresu e-mail i hasła.

Ta prośba stanowi sedno oszustwa. Wyświetlane dokumenty to jedynie przynęta, mająca przekonać użytkowników, że przed wyświetleniem plików wymagane jest uwierzytelnienie.

Co dzieje się ze skradzionymi danymi uwierzytelniającymi?

Wszelkie dane logowania wprowadzone do fałszywego portalu są przesyłane bezpośrednio do atakujących. Gdy cyberprzestępcy uzyskają dostęp do konta e-mail, konsekwencje mogą wykraczać daleko poza pojedynczą skompromitowaną skrzynkę pocztową.

Potencjalne zagrożenia obejmują:

• Czytanie poufnej korespondencji biznesowej lub osobistej.
• Resetowanie haseł do podłączonych usług online.
• Przejęcie kontroli nad dodatkowymi kontami powiązanymi ze zhakowanym adresem e-mail.
• Prowadzenie działań mających na celu kradzież tożsamości.
• Dokonywanie oszustw finansowych lub ataków polegających na wykorzystaniu firmowej poczty e-mail.

Ponieważ konta e-mail często stanowią centralny punkt odzyskiwania haseł i zarządzania kontami, nieautoryzowany dostęp może szybko doprowadzić do poważniejszego naruszenia bezpieczeństwa.

Ryzyko związane ze złośliwym oprogramowaniem powiązane z podobnymi kampaniami

Chociaż głównym celem oszustwa „Quotation And Technical Details” jest kradzież danych uwierzytelniających, kampanie tego typu są niekiedy wykorzystywane także do dystrybucji złośliwego oprogramowania.

Aktorzy zagrożeń często wykorzystują wiadomości spamowe do dostarczania złośliwego oprogramowania za pośrednictwem załączników lub osadzonych linków. Złośliwa zawartość może być zamaskowana pod postacią różnych typów plików, w tym programów wykonywalnych, skompresowanych archiwów, dokumentów PDF, plików pakietu Microsoft Office i plików skryptów. W wielu przypadkach infekcja następuje dopiero po otwarciu pliku przez odbiorcę, włączeniu makr, pobraniu treści lub wykonaniu instrukcji wyświetlanych na złośliwej stronie internetowej.

Niektóre linki phishingowe mogą przekierowywać użytkowników do stron internetowych, które automatycznie inicjują pobieranie, podczas gdy inne zachęcają do ręcznego uruchomienia pliku. Niezależnie od metody, często wymagana jest interakcja użytkownika, zanim złośliwe oprogramowanie uaktywni się w systemie.

Znaki ostrzegawcze, które powinny wzbudzić podejrzenia

Chociaż wiadomości e-mail typu phishing wciąż ewoluują, istnieje kilka wskaźników, które mogą pomóc w identyfikacji kampanii tego typu:

• Nieoczekiwane prośby o wyceny, informacje techniczne lub dokumentację biznesową od nieznanych osób.
• Linki, które rzekomo otwierają załączniki, ale zamiast tego kierują do zewnętrznych witryn internetowych.

• Aby wyświetlić rzekomo udostępnione dokumenty, użytkownik musi zalogować się i podać dane uwierzytelniające e-mail.

• Wiadomości tworzące poczucie pilności lub zachęcające do natychmiastowego działania bez uprzedniej komunikacji.

• Dane nadawcy nie odpowiadają reprezentowanej organizacji.

Dokładne sprawdzenie żądań przed interakcją z linkami lub załącznikami może znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa.

Ochrona przed oszustwami związanymi z ofertami i danymi technicznymi

Odbiorcy tych e-maili powinni unikać klikania w linki i podawania danych uwierzytelniających. Jeśli wiadomość została już otwarta, wszelkie osadzone linki należy zignorować, a e-mail usunąć lub zgłosić zgodnie z procedurami bezpieczeństwa obowiązującymi w organizacji.

Każda osoba, która wprowadziła swoje dane logowania na fałszywej stronie, powinna natychmiast zmienić hasło, zaktualizować hasła na wszystkich kontach, na których używane są te same dane logowania, włączyć uwierzytelnianie wieloskładnikowe, jeśli jest dostępne, oraz sprawdzić aktywność konta pod kątem oznak nieautoryzowanego dostępu.

Ostatnie myśli

E-mail „Oferta i dane techniczne” to próba wyłudzenia informacji, podszywająca się pod legalne zapytanie biznesowe. Podszywając się pod Bayerische Industrie GmbH i prezentując fałszywe dokumenty techniczne, atakujący próbują zwabić odbiorców na fałszywą stronę internetową, która kradnie dane uwierzytelniające do adresów e-mail. Ponieważ kampania nie jest w żaden sposób powiązana z żadną legalną organizacją, najbezpieczniejszą reakcją jest zignorowanie e-maila, unikanie interakcji z linkami i zachowanie ostrożności w przypadku niechcianych próśb o dostęp do dokumentów lub weryfikację danych uwierzytelniających.