Panloloko sa Email ng Pagsusuri ng Vendor

Ang mga hindi inaasahang email na lumilikha ng pakiramdam ng pagkaapurahan ay dapat palaging maging maingat, lalo na kapag humihingi ang mga ito ng sensitibong impormasyon o hinihikayat ang mga user na mag-click ng mga link. Madalas na binabago ng mga cybercriminal ang mga kampanya ng phishing bilang mga lehitimong komunikasyon sa negosyo sa pagtatangkang linlangin ang mga tatanggap upang isuko ang kumpidensyal na data. Ang tinatawag na 'Vendor Evaluation' na mga email na tinalakay dito ay hindi konektado sa anumang totoong kumpanya, organisasyon, kontratista, o entidad ng pagkuha. Sa halip, ang mga ito ay bahagi ng isang operasyon ng phishing na nagnanakaw ng kredensyal na idinisenyo upang ikompromiso ang mga email account at mapadali ang karagdagang pandaraya.

Ipinaliwanag ang Scam na 'Pagsusuri ng Vendor'

Karaniwang dumarating ang mga scam email na may subject line na 'Document Ready for Review' at nagpapanggap na isang propesyonal na imbitasyon sa pag-bid na may kaugnayan sa isang inisyatibo sa imprastraktura na umano'y pinaplano para sa unang bahagi ng Q2 2026. Ipinapaalam sa mga tatanggap na sila ay napili upang suriin ang isang dokumento ng Request for Quotation (RFQ) bilang bahagi ng isang diumano'y pagkakataon sa pagsusuri ng vendor.

Para magmukhang kapani-paniwala ang mensahe, ang email ay naglalaman ng parang nakalakip na PDF file na pinangalanang 'Bid_Invitation_RFQ_2026_Q2.pdf' kasama ang button na 'Review RFQ Securely'. Gayunpaman, hindi lehitimong attachment ang alinman sa mga elementong ito. Pareho itong mga link na maaaring i-click at i-redirect ang mga user sa iisang malisyosong website.

Tinatangka rin ng mensahe na pilitin ang mga tatanggap na kumilos nang mabilis sa pamamagitan ng pagbanggit ng deadline ng pagsusumite at pagpapakita ng mga abiso tulad ng 'mag-e-expire ang link sa loob ng 20 araw.' Ang mga taktikang ito ng pagmamadali ay karaniwang ginagamit sa mga pag-atake ng phishing upang mabawasan ang posibilidad na maingat na susuriin ng mga target ang email bago mag-click.

Paano Gumagana ang Pagnanakaw ng Kredensyal

Kapag na-click ng isang tatanggap ang pekeng attachment o button ng review, ire-redirect sila sa isang mapanlinlang na login page na idinisenyo upang gayahin ang isang mapagkakatiwalaang email service provider. Ang mga phishing page na ito ay kadalasang napaka-sopistikado at maaaring awtomatikong matukoy ang email domain ng biktima upang magpakita ng isang pamilyar na sign-in portal.

Halimbawa, maaaring makakita ang mga gumagamit ng Gmail ng login screen na may temang Google, habang ang mga gumagamit ng Outlook ay maaaring magpakita ng interface na istilo ng Microsoft. Pinapataas ng pag-personalize na ito ang posibilidad na maniwala ang mga biktima na tunay ang pahina.

Anumang mga kredensyal na inilagay sa mapanlinlang na form ay direktang ipinapadala sa mga umaatake. Dahil ang mga email account ay kadalasang nagsisilbing recovery point para sa iba pang mga online na serbisyo, ang ninakaw na impormasyon sa pag-login ay maaaring humantong sa malawakang pagkompromiso sa account.

Bakit Mapanganib ang mga Ninakaw na Kredensyal sa Email

Ang mga nakompromisong email account ay maaaring magbigay sa mga cybercriminal ng malawak na access sa digital na buhay ng isang biktima. Kapag nakontrol na ng mga umaatake ang isang inbox, maaari nilang:

• I-reset ang mga password para sa mga banking, shopping, cloud storage, o social media account na naka-link sa email address

• Basahin ang mga sensitibong komunikasyon at impormasyong pinansyal

• Magpadala ng mga phishing email sa mga katrabaho, kliyente, kaibigan, o miyembro ng pamilya

• Magsagawa ng mga pag-atake sa business email compromise (BEC) laban sa mga employer

• Ibenta ang ninakaw na access sa account sa mga underground cybercrime marketplaces

Mas lumalala pa ang mga panganib kapag ginamit muli ng mga user ang parehong password sa maraming account. Ang isang ninakaw na kredensyal ay maaaring mag-unlock ng maraming konektadong serbisyo.

Mga Palatandaan na ang Email ay Mapanlinlang

Ilang indikasyon ang nagpapakita ng malisyosong katangian ng kampanyang phishing na ito. Ang umano'y organisasyon ng nagpadala at mga detalye ng pakikipag-ugnayan ay gawa-gawa lamang, at ang mensahe ay lubos na umaasa sa pagmamadali upang makapukaw ng agarang aksyon. Bukod pa rito, ang pekeng PDF attachment ay isa lamang nakatagong hyperlink sa halip na isang lehitimong file.

Isa pang pangunahing babala ay ang kahilingang mag-log in sa pamamagitan ng isang panlabas na pahina. Ang mga lehitimong proseso ng pagkuha o pagsusuri ng vendor ay bihirang mangailangan sa mga tatanggap na i-verify ang kanilang mga kredensyal sa email sa pamamagitan ng mga hindi kaugnay na link ng third-party na ipinadala sa mga hindi hinihinging email.

Higit sa lahat, alinmang email provider ang tangkaing gayahin ng phishing page ay walang anumang kaugnayan sa mismong scam.

Mga Potensyal na Panganib ng Malware

Bagama't pangunahing nakatuon ang partikular na kampanyang ito sa pagnanakaw ng kredensyal, ang mga katulad na template ng phishing ay kadalasang ginagamit muli upang mamahagi ng malware. Karaniwang ginagamit ng mga cybercriminal ang email bilang paraan ng paghahatid ng malisyosong software sa pamamagitan ng pag-embed ng mapaminsalang nilalaman sa loob ng mga attachment o link.

Maaaring ipamahagi ng mga nagbabantang aktor ang mga nahawaang dokumento ng Microsoft Office, mga PDF file, mga ZIP o RAR archive, mga JavaScript file, o mga executable program. Sa maraming pagkakataon, ang proseso ng impeksyon ay nagsisimula lamang pagkatapos buksan ng biktima ang file, paganahin ang mga macro, o manu-manong patakbuhin ang na-download na software.

Ang ilang kampanya sa phishing ay ganap na umiiwas sa mga attachment at sa halip ay idinidirekta ang mga biktima sa mga malisyosong website na may kakayahang awtomatikong magpasimula ng mga pag-download ng malware o mandaya sa mga user na mag-install ng mga pekeng update at installer ng software.

Mga Pangwakas na Kaisipan

Ang kampanya sa email na 'Vendor Evaluation' ay isang phishing scam na nagkukunwaring isang lehitimong imbitasyon sa pag-bid para sa negosyo. Ang pangunahing layunin nito ay nakawin ang mga kredensyal ng email account sa pamamagitan ng isang nakakakumbinsi ngunit mapanlinlang na login page. Ang mga email ay walang kaugnayan sa anumang tunay na organisasyon, programa sa pamamahala ng vendor, o proseso ng pagkuha.

Dapat iwasan ng mga tatanggap ang pakikipag-ugnayan sa mensahe, iwasang i-click ang anumang naka-embed na link o button, at burahin agad ang email. Mahalaga ang pananatiling maingat sa mga hindi hinihinging komunikasyon sa negosyo para maprotektahan ang personal na impormasyon, mga corporate account, at seguridad sa pananalapi mula sa lalong sopistikadong mga banta sa cyber.