Oszustwo związane z e-mailem ze zmienioną fakturą

Nieoczekiwane wiadomości e-mail, zwłaszcza te dotyczące faktur, płatności lub pilnych spraw biznesowych, należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują ataki phishingowe pod postacią legalnej komunikacji korporacyjnej, aby nakłonić odbiorców do ujawnienia poufnych informacji. Kampania e-mailowa „Revised Invoice” jest jednym z takich zagrożeń.

Te e-maile nie są powiązane z żadnymi legalnymi firmami, organizacjami ani podmiotami. Stanowią one część operacji zbierania danych uwierzytelniających, której celem jest kradzież danych uwierzytelniających firmowych kont e-mail i potencjalne zagrożenie bezpieczeństwa całych środowisk biznesowych.

Wewnątrz fałszywej wiadomości

Temat wiadomości phishingowych zazwyczaj wygląda następująco:

'Polityka_zarządzania_finansami_v4'

Wiadomość rzekomo pochodzi od podmiotu o nazwie „Zarządzanie Portfelem i Finansami” i informuje odbiorców o dostępności poprawionej faktury za nieokreślony projekt. Odbiorcy proszeni są o potwierdzenie odbioru dokumentu, co dodaje komunikacji poczucia wiarygodności i pilności.

E-mail zawiera element oznaczony jako „Zatwierdź fakturę przetargową w formacie PDF”, który stanowi główną przynętę. Kliknięcie go przekierowuje użytkowników na szkodliwą stronę internetową zamiast otwierania prawdziwej faktury.

Portal Fałszywych Dokumentów

Osadzony link prowadzi do strony phishingowej hostowanej w domenie „dancing-froyo-1eba9c.netlify.app”. Strona internetowa została zaprojektowana tak, aby przypominała przeglądarkę dokumentów Adobe Acrobat i wyświetla fałszywy plik o nazwie „Approve_Operational_Policy_v4.pdf”.

Następnie pojawia się okno dialogowe z informacją, że dokument jest zablokowany i że przed udzieleniem dostępu wymagana jest weryfikacja tożsamości. Ofiara jest proszona o podanie:

• Firmowy adres e-mail oznaczony jako „Tożsamość korporacyjna (e-mail)”
• Odpowiednie hasło e-mail

Żaden dokument nie został faktycznie odblokowany. Jedynym celem strony jest zbieranie danych logowania i przesyłanie ich bezpośrednio atakującym prowadzącym kampanię.

Dlaczego skradzione dane uwierzytelniające korporacji są tak niebezpieczne

Zhakowane firmowe konta e-mail mogą zapewnić cyberprzestępcom znacznie więcej niż tylko dostęp do pojedynczej skrzynki odbiorczej. Po uzyskaniu ważnych danych uwierzytelniających atakujący mogą uzyskać dostęp do systemów firmowych, komunikacji wewnętrznej, platform pamięci masowej w chmurze i zasobów współdzielonych.

Skradzione konta są często wykorzystywane do:

• Uruchom dodatkowe kampanie phishingowe skierowane przeciwko współpracownikom i partnerom biznesowym
• Uzyskaj dostęp do poufnych dokumentów i wrażliwych informacji firmowych
• Przeprowadzanie ataków polegających na naruszaniu firmowej poczty e-mail
• Podszywanie się pod pracowników i kadrę kierowniczą
• Rozszerz zakres włamań na sieć organizacji

Kradzież jednego zestawu danych uwierzytelniających może przerodzić się w poważny incydent bezpieczeństwa, potencjalnie prowadzący do strat finansowych, wycieków danych i uszczerbku na reputacji.

Zagrożenia związane ze złośliwym oprogramowaniem wykraczające poza kradzież danych uwierzytelniających

Mimo że głównym celem oszustwa Revised Invoice jest gromadzenie danych uwierzytelniających, kampanie tego typu są powszechnie wykorzystywane również do rozpowszechniania złośliwego oprogramowania.

Aktorzy zagrożeń regularnie wykorzystują wiadomości spamowe do dostarczania złośliwych plików lub linków. Załączniki mogą mieć postać dokumentów PDF, arkuszy kalkulacyjnych, skompresowanych archiwów, programów wykonywalnych lub skryptów. W niektórych przypadkach otwarcie pliku lub włączenie funkcji, takich jak makra, inicjuje proces instalacji złośliwego oprogramowania.

Podobnie, linki osadzone w wiadomościach phishingowych mogą przekierowywać użytkowników do stron internetowych, które automatycznie pobierają złośliwe oprogramowanie lub nakłaniają odwiedzających do ręcznego uruchomienia szkodliwych plików. Większość infekcji wymaga pewnego stopnia interakcji użytkownika, co sprawia, że czujność jest kluczowym mechanizmem obronnym.

Jak odpowiedzieć na e-mail z poprawioną fakturą

Odbiorcy tej wiadomości powinni unikać interakcji z zawartymi w niej linkami, załącznikami i monitami. Ponieważ ani podmiot rzekomo zarządzający portfelem i finansami, ani żadna legalna organizacja nie jest powiązana z tą kampanią, wiadomość e-mail należy uznać za całkowicie oszukańczą.

Najbezpieczniejszym rozwiązaniem jest natychmiastowe usunięcie wiadomości. Osoby, które podały już swoje dane uwierzytelniające na fałszywej stronie internetowej, powinny niezwłocznie zmienić hasła i powiadomić dział bezpieczeństwa informacji lub dział IT swojej organizacji, aby można było wdrożyć odpowiednie środki bezpieczeństwa.

Ostatnie myśli

Oszustwo e-mailowe „Revised Invoice” to starannie opracowana kampania phishingowa, która wykorzystuje rutynowe procesy biznesowe do kradzieży danych uwierzytelniających firmowe adresy e-mail. Podszywając się pod powiadomienie o zmienionej fakturze i kierując ofiary do portalu z fałszywymi dokumentami, atakujący próbują uzyskać nieautoryzowany dostęp do kont firmowych i potencjalnie narazić na szwank całe organizacje.

Zachowanie zdrowego poziomu sceptycyzmu wobec nieoczekiwanych wiadomości e-mail, weryfikacja autentyczności korespondencji dotyczącej faktur i unikanie niechcianych próśb o zalogowanie to podstawowe praktyki zapobiegające atakom phishingowym i chroniące poufne informacje korporacyjne.