Yeniden Düzenlenmiş Fatura E-posta Dolandırıcılığı

Beklenmedik e-postalar, özellikle faturalar, ödemeler veya acil iş konularıyla ilgili olanlar, her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas bilgileri ifşa etmeye kandırmak için sıklıkla kimlik avı saldırılarını meşru kurumsal iletişim gibi gösterirler. 'Yeniden Düzenlenmiş Fatura' e-posta kampanyası da bu tür bir tehdittir.

Bu e-postalar herhangi bir meşru şirket, kuruluş veya kurumla ilişkili değildir. Bunun yerine, kurumsal e-posta hesabı kimlik bilgilerini çalmak ve potansiyel olarak tüm iş ortamlarını tehlikeye atmak için tasarlanmış bir kimlik bilgisi toplama operasyonunun parçasıdırlar.

Sahte Mesajın İçeriği

Kimlik avı e-postaları genellikle şu konu başlığıyla gelir:

'Finansal Yönetim_Politikası_v4'

Mesaj, 'Portföy ve Finansal Yönetim' adlı bir birimden geldiğini iddia ediyor ve alıcılara belirtilmeyen bir proje için revize edilmiş bir faturanın mevcut olduğunu bildiriyor. Alıcılardan belgenin alındığını onaylamaları isteniyor, bu da iletişime meşruiyet ve aciliyet duygusu katıyor.

E-postada, kullanıcıları cezbetmek için kullanılan temel unsur olan 'Operasyonel İhale Faturası PDF'ini Onayla' başlıklı bir öğe bulunmaktadır. Bu öğeye tıklamak, kullanıcıları gerçek bir fatura açmak yerine kötü amaçlı bir web sitesine yönlendirir.

Sahte Belge Portalı

Gömülü bağlantı, 'dancing-froyo-1eba9c.netlify.app' alan adında barındırılan bir kimlik avı sayfasına yönlendirmektedir. Web sitesi, Adobe Acrobat belge görüntüleyicisine benzeyecek şekilde özenle tasarlanmıştır ve 'Approve_Operational_Policy_v4.pdf' adlı sahte bir dosya göstermektedir.

Ardından, belgenin kilitli olduğunu ve erişim izni verilmeden önce kimlik doğrulamasının gerekli olduğunu belirten bir açılır pencere belirir. Mağdurdan şu bilgileri vermesi istenir:

• 'Kurumsal Kimlik (E-posta)' olarak etiketlenmiş bir kurumsal e-posta adresi.
• İlgili e-posta şifresi

Aslında hiçbir belge kilidi açılmıyor. Sayfanın tek amacı giriş bilgilerini toplamak ve bunları doğrudan saldırı kampanyasını yürütenlere iletmektir.

Çalınan Kurumsal Kimlik Bilgileri Neden Bu Kadar Tehlikeli?

Ele geçirilen kurumsal e-posta hesapları, siber suçlulara tek bir gelen kutusuna erişimden çok daha fazlasını sağlayabilir. Saldırganlar geçerli kimlik bilgilerini elde ettikten sonra, işletme sistemlerine, iç iletişimlere, bulut depolama platformlarına ve paylaşılan kaynaklara erişim sağlayabilirler.

Çalınan hesaplar sıklıkla şu amaçlarla kötüye kullanılır:

• İş arkadaşlarına ve iş ortaklarına karşı ek kimlik avı kampanyaları başlatın.
• Gizli belgelere ve hassas şirket bilgilerine erişim
• İş e-postası ele geçirme saldırıları gerçekleştirin.
• Çalışanları ve yöneticileri taklit etmek
• Saldırıyı kuruluşun ağına yaygınlaştırın.

Dolayısıyla, tek bir kimlik bilgisinin çalınması, önemli bir güvenlik olayına dönüşebilir ve potansiyel olarak mali kayıplara, veri ihlallerine ve itibar kaybına yol açabilir.

Kimlik Bilgisi Hırsızlığının Ötesindeki Kötü Amaçlı Yazılım Riskleri

Yeniden Düzenlenmiş Fatura dolandırıcılığının birincil amacı kimlik bilgilerini ele geçirmek olsa da, bu tür kampanyalar genellikle kötü amaçlı yazılım dağıtmak için de kullanılmaktadır.

Siber saldırganlar, kötü amaçlı dosyaları veya bağlantıları iletmek için düzenli olarak spam e-postaları kullanırlar. Ekler PDF belgeleri, elektronik tablolar, sıkıştırılmış arşivler, çalıştırılabilir programlar veya komut dosyaları şeklinde görünebilir. Bazı durumlarda, dosyayı açmak veya makro gibi özellikleri etkinleştirmek, kötü amaçlı yazılımın kurulum sürecini başlatır.

Benzer şekilde, kimlik avı e-postalarına yerleştirilmiş bağlantılar, kullanıcıları otomatik olarak kötü amaçlı yazılım indiren veya ziyaretçileri zararlı dosyaları manuel olarak çalıştırmaya ikna eden web sitelerine yönlendirebilir. Çoğu enfeksiyon bir dereceye kadar kullanıcı etkileşimi gerektirir; bu nedenle dikkatli olmak kritik bir savunma mekanizmasıdır.

Yeniden Düzenlenmiş Fatura E-postasına Nasıl Yanıt Verilir?

Bu mesajı alan kişilerin, içerdiği bağlantılar, ekler veya yönlendirmelerle etkileşime girmemeleri gerekmektedir. Sözde 'Portföy ve Finansal Yönetim' kuruluşu veya herhangi bir meşru kuruluşun bu kampanyayla bağlantısı olmadığı için, e-posta tamamen sahtekarlık olarak değerlendirilmelidir.

En güvenli yol, mesajı derhal silmektir. Sahte web sitesine giriş yapmış olan kişiler, gecikmeden şifrelerini değiştirmeli ve kurumlarının bilgi güvenliği veya BT departmanını bilgilendirmelidir, böylece uygun önlemler alınabilir.

Son Düşünceler

"Düzeltilmiş Fatura" e-posta dolandırıcılığı, kurumsal e-posta kimlik bilgilerini çalmak için rutin iş süreçlerini istismar eden, dikkatlice hazırlanmış bir kimlik avı kampanyasıdır. Saldırganlar, düzeltilmiş bir fatura bildirimi gibi davranarak ve kurbanları sahte bir belge portalına yönlendirerek, işletme hesaplarına yetkisiz erişim sağlamayı ve potansiyel olarak tüm kuruluşları tehlikeye atmayı amaçlamaktadır.

Beklenmedik e-postalara karşı sağlıklı bir şüphecilik düzeyini korumak, fatura ile ilgili iletişimlerin gerçekliğini doğrulamak ve istenmeyen giriş isteklerinden kaçınmak, kimlik avı saldırılarını önlemek ve hassas kurumsal bilgileri korumak için olmazsa olmaz uygulamalardır.