Шахрайство з переглянутою електронною поштою з рахунками-фактурами

До неочікуваних електронних листів, особливо тих, що стосуються рахунків-фактур, платежів або термінових ділових питань, завжди слід ставитися з обережністю. Кіберзлочинці часто маскують фішингові атаки під законні корпоративні повідомлення, щоб обманом змусити одержувачів розкрити конфіденційну інформацію. Кампанія електронної пошти «Переглянуті рахунки-фактури» є однією з таких загроз.

Ці електронні листи не пов’язані з жодними легітимними компаніями, організаціями чи юридичними особами. Натомість вони є частиною операції зі збору облікових даних, призначеної для крадіжки облікових даних корпоративних електронних адрес та потенційного порушення цілого бізнес-середовища.

Усередині шахрайського повідомлення

Фішингові електронні листи зазвичай надходять із темою:

'Політика фінансового управління_версія_4'

У повідомленні стверджується, що воно надійшло від організації під назвою «Управління портфелем та фінансами» та інформує одержувачів про доступність виправленого рахунку-фактури для невизначеного проекту. Одержувачів просять підтвердити отримання документа, що додає комунікації відчуття легітимності та терміновості.

Електронний лист містить елемент з написом «Затвердити PDF-файл операційного рахунку-фактури», який слугує основною приманкою. Натискання на нього перенаправляє користувачів на шкідливий веб-сайт замість відкриття справжнього рахунку-фактури.

Портал підроблених документів

Вбудоване посилання веде на фішингову сторінку, розміщену на домені «dancing-froyo-1eba9c.netlify.app». Вебсайт ретельно розроблений, щоб нагадувати переглядач документів Adobe Acrobat, і відображає підроблений файл під назвою «Approve_Operational_Policy_v4.pdf».

Потім з’являється спливаюче вікно, в якому повідомляється, що документ заблоковано, і що перед наданням доступу потрібна перевірка особи. Жертві пропонується надати:

• Корпоративна електронна адреса з позначкою «Корпоративний ідентифікатор (електронна пошта)»
• Відповідний пароль електронної пошти

Жоден документ насправді не розблоковано. Єдиною метою сторінки є збір облікових даних для входу та їх безпосередня передача зловмисникам, які керують кампанією.

Чому вкрадені корпоративні повноваження такі небезпечні

Скомпрометовані корпоративні облікові записи електронної пошти можуть надати кіберзлочинцям набагато більше, ніж доступ до однієї поштової скриньки. Щойно зловмисники отримають дійсні облікові дані, вони можуть отримати доступ до бізнес-систем, внутрішнього зв’язку, платформ хмарного зберігання даних та спільних ресурсів.

Викрадені облікові записи часто використовуються для:

• Запускати додаткові фішингові кампанії проти колег та ділових партнерів
• Доступ до конфіденційних документів та чутливої інформації компанії
• Проводити атаки на компрометацію ділової електронної пошти
• Видавати себе за співробітників та керівників
• Розширити вторгнення по всій мережі організації

Таким чином, крадіжка одного набору облікових даних може перерости у значний інцидент безпеки, що потенційно може призвести до фінансових втрат, витоків даних та репутаційної шкоди.

Ризики шкідливого програмного забезпечення, що виходять за рамки крадіжки облікових даних

Хоча основною метою шахрайства з переглянутими рахунками є збір облікових даних, кампанії такого характеру також часто використовуються для розповсюдження шкідливого програмного забезпечення.

Зловмисники регулярно використовують спам-листи для доставки шкідливих файлів або посилань. Вкладення можуть виглядати як PDF-документи, електронні таблиці, стиснуті архіви, виконувані програми або скрипти. У деяких випадках відкриття файлу або ввімкнення таких функцій, як макроси, ініціює процес встановлення шкідливого програмного забезпечення.

Аналогічно, посилання, вбудовані у фішингові електронні листи, можуть перенаправляти користувачів на веб-сайти, які автоматично завантажують шкідливе програмне забезпечення або спонукають відвідувачів вручну запускати шкідливі файли. Більшість інфекцій вимагають певного ступеня взаємодії з користувачем, що робить пильність критично важливим захисним механізмом.

Як відповісти на електронний лист із виправленим рахунком-фактурою

Одержувачам цього повідомлення слід уникати взаємодії з будь-якими посиланнями, вкладеннями чи підказками, що містяться в ньому. Оскільки ні нібито суб'єкт господарювання «Управління портфелем та фінансами», ні будь-яка легітимна організація не пов'язані з цією кампанією, електронний лист слід вважати повністю шахрайським.

Найбезпечніший варіант дій – негайно видалити повідомлення. Особи, які вже ввели свої облікові дані на фальшивому веб-сайті, повинні негайно змінити свої паролі та повідомити відділ інформаційної безпеки або ІТ своєї організації, щоб можна було вжити відповідних заходів стримування.

Заключні думки

Шахрайство електронною поштою з переглянутою рахунком-фактурою – це ретельно розроблена фішингова кампанія, яка використовує рутинні бізнес-процеси для крадіжки корпоративних облікових даних електронної пошти. Маскуючи повідомлення про переглянуту рахунок-фактуру та перенаправляючи жертв на портал підроблених документів, зловмисники намагаються отримати несанкціонований доступ до бізнес-акаунтів і потенційно скомпрометувати цілі організації.

Підтримка здорового рівня скептицизму щодо неочікуваних електронних листів, перевірка справжності повідомлень, пов’язаних з рахунками-фактурами, та уникнення небажаних запитів на вхід залишаються важливими практиками для запобігання фішинговим атакам та захисту конфіденційної корпоративної інформації.