Мошенничество с электронными письмами, содержащими исправленные счета-фактуры.

Неожиданные электронные письма, особенно те, которые касаются счетов-фактур, платежей или срочных деловых вопросов, всегда следует воспринимать с осторожностью. Киберпреступники часто маскируют фишинговые атаки под законные корпоративные сообщения, чтобы обманом заставить получателей раскрыть конфиденциальную информацию. Рассылка электронных писем под названием «Исправленный счет-фактура» — одна из таких угроз.

Эти электронные письма не связаны ни с какими законными компаниями, организациями или структурами. Вместо этого они являются частью операции по сбору учетных данных, предназначенной для кражи учетных данных корпоративных почтовых аккаунтов и потенциальной компрометации всей корпоративной среды.

Внутри мошеннического сообщения

Фишинговые письма обычно имеют следующую тему:

'Политика финансового управления_версия_4'

В сообщении утверждается, что оно отправлено организацией под названием «Управление портфелем и финансами», и получателям сообщается о наличии пересмотренного счета-фактуры по неуказанному проекту. Получателей просят подтвердить получение документа, что придает сообщению легитимность и срочность.

В электронном письме содержится элемент с пометкой «Approve_Operational Tender Invoice PDF», который служит основной приманкой. Нажатие на него перенаправляет пользователей на вредоносный веб-сайт вместо открытия настоящего счета-фактуры.

Портал поддельных документов

Встроенная ссылка ведет на фишинговую страницу, размещенную на домене 'dancing-froyo-1eba9c.netlify.app'. Веб-сайт тщательно разработан, чтобы имитировать программу просмотра документов Adobe Acrobat, и отображает поддельный файл с именем 'Approve_Operational_Policy_v4.pdf'.

Затем появляется всплывающее окно, сообщающее, что документ заблокирован и для получения доступа требуется подтверждение личности. Пострадавшему предлагается предоставить следующую информацию:

• Корпоративный адрес электронной почты с пометкой «Корпоративная идентичность (электронная почта)».
• Соответствующий пароль электронной почты

Фактически ни один документ не разблокирован. Единственная цель страницы — сбор учетных данных для входа и их прямая передача злоумышленникам, ведущим эту кампанию.

Почему украденные корпоративные учетные данные так опасны

Взлом корпоративных почтовых аккаунтов может предоставить киберпреступникам гораздо больше, чем просто доступ к одному почтовому ящику. Получив действительные учетные данные, злоумышленники могут получить доступ к корпоративным системам, внутренней связи, облачным хранилищам и общим ресурсам.

Украденные аккаунты часто используются не по назначению:

• Запустите дополнительные фишинговые кампании против коллег и деловых партнеров.
• Получите доступ к конфиденциальным документам и важной информации компании.
• Проведение атак с использованием компрометированной корпоративной электронной почты.
• Выдавать себя за сотрудников и руководителей.
• Расширьте зону вторжения на всю сеть организации.

Таким образом, кража одного набора учетных данных может перерасти в серьезный инцидент безопасности, потенциально приводящий к финансовым потерям, утечкам данных и ущербу для репутации.

Риски, связанные с вредоносным ПО, помимо кражи учетных данных.

Хотя основной целью мошеннической схемы с «пересмотренными счетами» является сбор учетных данных, подобные кампании также часто используются для распространения вредоносного ПО.

Злоумышленники регулярно используют спам-письма для распространения вредоносных файлов или ссылок. Вложения могут представлять собой PDF-документы, электронные таблицы, сжатые архивы, исполняемые программы или скрипты. В некоторых случаях открытие файла или включение таких функций, как макросы, запускает процесс установки вредоносного ПО.

Аналогичным образом, ссылки, встроенные в фишинговые электронные письма, могут перенаправлять пользователей на веб-сайты, которые автоматически загружают вредоносное программное обеспечение или убеждают посетителей вручную запустить вредоносные файлы. Большинство инфекций требуют определенного взаимодействия с пользователем, поэтому бдительность является критически важным механизмом защиты.

Как ответить на электронное письмо с исправленным счетом-фактурой

Получателям этого сообщения следует избегать взаимодействия с любыми ссылками, вложениями или подсказками, содержащимися в нем. Поскольку ни предполагаемая организация «Управление портфелем и финансами», ни какая-либо законная организация не имеют отношения к этой кампании, электронное письмо следует считать полностью мошенническим.

Наиболее безопасным вариантом действий является немедленное удаление сообщения. Лицам, уже введшим свои учетные данные на поддельном веб-сайте, следует незамедлительно сменить пароли и уведомить отдел информационной безопасности или ИТ-отдел своей организации, чтобы можно было принять соответствующие меры по пресечению противоправных действий.

Заключительные мысли

Мошенническая схема с электронными письмами, содержащими информацию о пересмотренном счете-фактуре, — это тщательно спланированная фишинговая кампания, которая использует стандартные бизнес-процессы для кражи корпоративных учетных данных электронной почты. Маскируясь под уведомление о пересмотренном счете-фактуре и направляя жертв на портал поддельных документов, злоумышленники пытаются получить несанкционированный доступ к корпоративным учетным записям и потенциально скомпрометировать целые организации.

Сохранение здорового уровня скептицизма по отношению к неожиданным электронным письмам, проверка подлинности сообщений, связанных с счетами-фактурами, и избегание нежелательных запросов на авторизацию остаются важными мерами для предотвращения фишинговых атак и защиты конфиденциальной корпоративной информации.