Исследователи компании Proofpoint выявили новую масштабную схему мошенничества, связанную с запросами коммерческих предложений (RFQ). Преступники используют корпоративное финансирование с отсрочкой платежа (Net 15, 30, 45 дней) для хищения дорогостоящих электронных устройств и других товаров. Такая отсрочка является стандартной практикой в бизнесе, и мошенники активно этим пользуются, выдавая себя за представителей крупных компаний, университетов и даже муниципальных учреждений.
Описание
Схема начинается с того, что злоумышленники, выдавая себя за сотрудников отделов закупок, отправляют компаниям-поставщикам запросы на коммерческие предложения. В письмах они указывают список специфического оборудования: тестовые приборы Fluke, жесткие диски, камеры видеонаблюдения, Wi-Fi-оборудование и медицинские устройства. Эти товары пользуются высоким спросом в развивающихся странах, что делает их привлекательными для перепродажи.
Для придания легитимности мошенники используют поддельные документы, включая идентификационные номера предприятий (EIN), номера DUNS, а также копии уставных документов. Часто они создают фиктивные email-адреса, похожие на корпоративные, или регистрируют домены, имитирующие сайты реальных компаний.
После получения одобрения на отсрочку платежа мошенники предоставляют адрес доставки. Как правило, это склады временного хранения, частные адреса или услуги грузоперевозчиков, специализирующихся на отправке товаров в Западную Африку, включая Нигерию и Гану. В некоторых случаях злоумышленники арендуют небольшие складские помещения на месяц, чтобы скрыть следы преступления.
Proofpoint удалось не только отследить активность мошенников, но и частично пресечь их операции. В сотрудничестве с группой по противодействию киберпреступлениям (Takedown Team) исследователи заблокировали 19 доменов, используемых преступниками. В некоторых случаях это заставило мошенников полностью прекратить переписку, а в других - перейти на новые домены. Также были перехвачены несколько посылок с украденными товарами благодаря взаимодействию с транспортными компаниями.
Чтобы защититься от подобных атак, компаниям следует проявлять осторожность при обработке запросов на отсрочку платежа. Важно проверять адреса доставки - если это частный адрес или сервис грузоперевозок, стоит дополнительно верифицировать заказчика. Также необходимо анализировать домены отправителей и сверять их с официальными сайтами компаний. Еще одним тревожным сигналом может служить использование бесплатных почтовых сервисов (например, Gmail, Yahoo) для деловой переписки.
Данная схема мошенничества остается одной из самых распространенных в сфере B2B-взаимодействий. Преступники постоянно совершенствуют методы обмана, поэтому компаниям необходимо внедрять дополнительные меры безопасности при работе с новыми клиентами, особенно если речь идет о крупных заказах с отсрочкой платежа.
Индикаторы компрометации
Domains
- abecelectric.biz
- abecelectric.net
- abecelectric.xyz
- abecelectrical.com
- abec-electricinc.com
- abecelectrics.com
- abelectriceincs.com
- aceelectricalsinc.com
- advances-electricsinc.com
- americaninstituteresearch.org
- atlanticsdda.com
- azdamiaan-be.com
- bbtruckings.net
- bcciconsts.com
- beauchampcos.com
- citicgroups-hk.com
- cityofchicago-gov.org
- claycorpe.com
- cleanswatersteam.com
- cleanwatersteams.com
- clemsons-edu-school.com
- clemsons-edu-schools.com
- collinsmns.com
- creechlogistic.com
- cummingselecs.com
- delcoelectricsinc.com
- denttoni.com
- dgicomunication.com
- dgicomunications.com
- dropsausas.com
- dvnemail.com
- dvnenergycorp.net
- dvnenergycorp.org
- elllisdoninc.com
- energyelectricneinc.com
- enerveos.com
- faureciausa.com
- fossmaritimes.com
- foxcorporations.net
- gsk-ch.com
- gskpharma.co.uk
- gwelecco.com
- hammondelectrics.com
- hard1nge.com
- hardlnge.com
- hbfullercompany.net
- hearingcomponent.com
- honplumbing.com
- iciconstructionincs.com
- icon-consturction.com
- innovativemedicinejnj.com
- interceptroofiing.com
- interceptrooofing.com
- johnsoncontr0ls.com
- keyeances.com
- konannmedical.com
- labchem-wako-fujifilm.com
- lakeland-gov.net
- lewiisupply.com
- louisvileedu.net
- magnetekgroup.com
- magnetekhm.com
- magnetek-inc.com
- magnetekincs.com
- marrten.net
- mexicanbarrier.com
- mgnetekinc.com
- mtindgovsg.com
- ngbaileys.com
- novartisphamcorp.com
- novartispharmaceuticalscorp.com
- novartispharmcorp.com
- nterceptroofings.com
- omegaengineering-inc.com
- omexom-nz.com
- ourmexicanwall.com
- patmurphyelectrics.com
- portable-air1.net
- quad-graphics.org
- sheppardtruckings.com
- sjdieselservices.com
- smithppi.net
- superiorcranesinc.com
- thedotfunds.org
- thekrogerc.com
- tudisinc.com
- turtlleinc.com
- twc-texas-gov.us
- uk-novartis.com
- volusiacountygov.org
- volusiagov.org
- vseaviations-inc.com
- weikart-ch.com
- willmengconstructions.com
