Lừa đảo qua email hóa đơn đã sửa đổi

Những email bất ngờ, đặc biệt là những email liên quan đến hóa đơn, thanh toán hoặc các vấn đề kinh doanh khẩn cấp, luôn cần được xử lý cẩn trọng. Tội phạm mạng thường ngụy trang các cuộc tấn công lừa đảo dưới dạng các thông báo chính thức của công ty để lừa người nhận tiết lộ thông tin nhạy cảm. Chiến dịch email "Hóa đơn sửa đổi" là một trong những mối đe dọa như vậy.

Những email này không liên quan đến bất kỳ công ty, tổ chức hoặc thực thể hợp pháp nào. Thay vào đó, chúng là một phần của chiến dịch thu thập thông tin đăng nhập được thiết kế để đánh cắp thông tin đăng nhập tài khoản email doanh nghiệp và có khả năng gây nguy hiểm cho toàn bộ môi trường kinh doanh.

Bên trong thông điệp lừa đảo

Các email lừa đảo thường có tiêu đề như sau:

'Chính sách quản lý tài chính_phiên bản 4'

Tin nhắn này tự xưng là đến từ một tổ chức có tên gọi "Quản lý Danh mục Đầu tư và Tài chính" và thông báo cho người nhận rằng hóa đơn đã được sửa đổi cho một dự án không xác định đã có sẵn. Người nhận được yêu cầu xác nhận đã nhận được tài liệu, điều này làm tăng thêm tính xác thực và tính cấp bách cho thông báo.

Email này bao gồm một mục có tiêu đề 'Approve_Operational Tender Invoice PDF', đây là mồi nhử chính. Nhấp vào mục này sẽ chuyển hướng người dùng đến một trang web độc hại thay vì mở một hóa đơn thật.

Cổng thông tin tài liệu giả

Liên kết được nhúng dẫn đến một trang web lừa đảo được lưu trữ trên tên miền 'dancing-froyo-1eba9c.netlify.app'. Trang web được thiết kế cẩn thận để giống với trình xem tài liệu Adobe Acrobat và hiển thị một tệp giả mạo có tên 'Approve_Operational_Policy_v4.pdf'.

Một cửa sổ bật lên hiện ra, thông báo rằng tài liệu bị khóa và cần xác minh danh tính trước khi có thể truy cập. Nạn nhân được yêu cầu cung cấp:

• Địa chỉ email công ty được gắn nhãn là 'Nhận diện công ty (Email)'
• Mật khẩu email tương ứng

Thực tế không có tài liệu nào được mở khóa. Mục đích duy nhất của trang này là thu thập thông tin đăng nhập và chuyển trực tiếp cho những kẻ tấn công đang thực hiện chiến dịch.

Vì sao thông tin đăng nhập doanh nghiệp bị đánh cắp lại nguy hiểm đến vậy?

Các tài khoản email doanh nghiệp bị xâm phạm có thể cung cấp cho tội phạm mạng nhiều hơn là chỉ quyền truy cập vào một hộp thư đến duy nhất. Một khi kẻ tấn công có được thông tin đăng nhập hợp lệ, chúng có thể xâm nhập vào các hệ thống kinh doanh, liên lạc nội bộ, nền tảng lưu trữ đám mây và các tài nguyên dùng chung.

Các tài khoản bị đánh cắp thường bị lạm dụng để:

• Tiến hành thêm các chiến dịch tấn công lừa đảo nhắm vào đồng nghiệp và đối tác kinh doanh.
• Truy cập các tài liệu mật và thông tin nhạy cảm của công ty.
• Tiến hành các cuộc tấn công chiếm đoạt email doanh nghiệp
• Giả mạo nhân viên và giám đốc điều hành
• Mở rộng phạm vi xâm nhập trên toàn mạng lưới của tổ chức.

Do đó, việc đánh cắp một bộ thông tin đăng nhập duy nhất có thể leo thang thành một sự cố an ninh nghiêm trọng, tiềm ẩn nguy cơ gây thiệt hại về tài chính, rò rỉ dữ liệu và tổn hại danh tiếng.

Rủi ro phần mềm độc hại vượt xa việc đánh cắp thông tin đăng nhập

Mặc dù mục tiêu chính của chiêu trò lừa đảo hóa đơn sửa đổi là thu thập thông tin đăng nhập, nhưng các chiến dịch kiểu này cũng thường được sử dụng để phát tán phần mềm độc hại.

Các đối tượng tấn công thường sử dụng email rác để phát tán các tệp hoặc liên kết độc hại. Tệp đính kèm có thể xuất hiện dưới dạng tài liệu PDF, bảng tính, tệp lưu trữ nén, chương trình thực thi hoặc tập lệnh. Trong một số trường hợp, việc mở tệp hoặc kích hoạt các tính năng như macro sẽ khởi động quá trình cài đặt phần mềm độc hại.

Tương tự, các liên kết được nhúng trong email lừa đảo có thể chuyển hướng người dùng đến các trang web tự động tải xuống phần mềm độc hại hoặc thuyết phục người truy cập tự tay thực thi các tệp tin có hại. Hầu hết các hình thức lây nhiễm đều yêu cầu một mức độ tương tác nhất định từ người dùng, do đó, cảnh giác là một cơ chế phòng vệ quan trọng.

Cách phản hồi email hóa đơn đã sửa đổi

Người nhận được tin nhắn này nên tránh tương tác với bất kỳ liên kết, tệp đính kèm hoặc lời nhắc nào có trong đó. Vì cả thực thể được cho là "Quản lý Danh mục Đầu tư và Tài chính" lẫn bất kỳ tổ chức hợp pháp nào đều không liên quan đến chiến dịch này, nên email này hoàn toàn là lừa đảo.

Cách an toàn nhất là xóa tin nhắn đó ngay lập tức. Những người đã nhập thông tin đăng nhập của mình vào trang web giả mạo nên thay đổi mật khẩu ngay lập tức và thông báo cho bộ phận an ninh thông tin hoặc bộ phận CNTT của tổ chức để có thể thực hiện các biện pháp ngăn chặn thích hợp.

Lời kết

Chiêu trò lừa đảo qua email "Hóa đơn sửa đổi" là một chiến dịch lừa đảo tinh vi, lợi dụng các quy trình kinh doanh thông thường để đánh cắp thông tin đăng nhập email của doanh nghiệp. Bằng cách giả mạo thông báo hóa đơn sửa đổi và hướng nạn nhân đến một cổng thông tin tài liệu giả mạo, kẻ tấn công cố gắng giành quyền truy cập trái phép vào tài khoản doanh nghiệp và có khả năng gây nguy hiểm cho toàn bộ tổ chức.

Duy trì thái độ hoài nghi lành mạnh đối với các email bất ngờ, xác minh tính xác thực của các thông tin liên quan đến hóa đơn và tránh các yêu cầu đăng nhập không được yêu cầu vẫn là những biện pháp thiết yếu để ngăn chặn các cuộc tấn công lừa đảo và bảo vệ thông tin nhạy cảm của doanh nghiệp.