Fałszywa faktura z numerem do supportu w firmie

TL;DR

Fałszywa faktura nie musi zawierać złośliwego załącznika ani linku do fałszywej strony logowania. Czasem najważniejszym elementem ataku jest numer telefonu. Wiadomość ma przestraszyć odbiorcę rzekomą opłatą, odnowieniem subskrypcji albo transakcją, a następnie skłonić go do rozmowy z fałszywym supportem.

Malwarebytes opisał kampanię przechwyconą w trakcie przygotowania. Część szablonów nie miała jeszcze uzupełnionych numerów telefonu i kwot, ale schemat był czytelny: podszycie pod znane marki, faktura lub potwierdzenie płatności oraz wezwanie do telefonu, jeśli odbiorca chce anulować albo zakwestionować obciążenie.

Dla firm to ważny scenariusz, bo omija część klasycznych zabezpieczeń. Nie ma podejrzanego linku, nie ma pliku do skanowania, nie ma fałszywego formularza. Jest proces: emocja, telefon, rozmowa, presja i próba wyłudzenia pieniędzy, danych karty, zdalnego dostępu albo wykonania przelewu.

Gdy numer telefonu staje się ładunkiem phishingu

W wielu kampaniach phishingowych analizujemy link, domenę, załącznik albo formularz logowania. W refund scam, czyli oszustwie na zwrot lub anulowanie rzekomej płatności, ładunkiem jest rozmowa telefoniczna. Wiadomość ma tylko doprowadzić odbiorcę do numeru oszusta.

Schemat jest prosty. Odbiorca widzi fakturę, paragon, potwierdzenie zakupu albo informację o odnowieniu subskrypcji. Kwota jest na tyle wysoka, aby wywołać reakcję, ale na tyle prawdopodobna, aby nie wyglądała absurdalnie. W treści pojawia się numer do anulowania, reklamacji albo supportu.

Jeżeli ofiara zadzwoni, przechodzi z kanału mailowego do vishingu, czyli phishingu głosowego. Oszust może wtedy reagować na pytania, wzmacniać presję, uspokajać, straszyć, instruować krok po kroku i prowadzić rozmowę tak długo, aż uzyska pożądane działanie.

To dobry przykład, dlaczego phishing trzeba rozumieć jako proces, a nie tylko jako wiadomość z linkiem.

Dlaczego takie wiadomości mogą przejść przez filtry

Wiadomość z fałszywą fakturą może nie zawierać niczego, co łatwo zablokować. Nie musi mieć złośliwego pliku, linku do podejrzanej domeny ani zaawansowanego kodu. Może być zwykłym tekstem lub obrazem udającym potwierdzenie płatności.

Dla filtra poczty to trudniejszy problem. Oczywiście można analizować treść, nadawcę, reputację, podobieństwo do znanych kampanii i obecność numeru telefonu, ale nie ma jednego prostego artefaktu, który zawsze zdradzi atak. Celem jest przeniesienie ofiary do rozmowy, poza typową kontrolę poczty.

To samo dotyczy użytkownika. Jeśli nie ma linku, część osób uzna, że wiadomość jest mniej groźna. To błąd. Numer telefonu w podejrzanej fakturze może być równie niebezpieczny jak link do fałszywego logowania, bo uruchamia kolejny etap socjotechniki.

W firmach ten scenariusz jest szczególnie istotny dla działów finansowych, zakupów, administracji, HR i osób obsługujących subskrypcje. Tam faktury i potwierdzenia płatności są normalną częścią pracy.

Psychologia: anuluj zanim będzie za późno

Refund scam działa, bo wykorzystuje odruch obronny. Użytkownik widzi transakcję, której nie rozpoznaje, i chce ją natychmiast zatrzymać. Oszust nie musi przekonywać go do zakupu. Wystarczy, że podsunie numer, pod którym rzekomo można anulować płatność.

Wiadomość często gra markami, które odbiorca zna: sklep, platforma płatnicza, subskrypcja, sprzęt, program antywirusowy albo usługa techniczna. Czasem pojawiają się dziwne połączenia marek, na przykład jedna firma w polu nadawcy, druga w treści, a trzecia jako odbiorca płatności. To powinno zatrzymać odbiorcę, ale przy stresie bywa ignorowane.

Po nawiązaniu rozmowy oszust może użyć kilku ścieżek. Może poprosić o dane karty, aby cofnąć transakcję. Może nakłonić do instalacji narzędzia zdalnego dostępu. Może przekonać ofiarę, że zwrot wymaga przelewu testowego. Może też zbierać dane osobowe, adres, numer telefonu i informacje o banku.

Najgroźniejsze jest to, że rozmowa daje napastnikowi przewagę adaptacji. Jeśli jedna historia nie działa, może zmienić ton i pretekst.

Polski kontekst: faktury, KSeF i rutyna księgowa

W Polsce faktury są bardzo silnym pretekstem phishingowym. Firmy żyją dokumentami, korektami, płatnościami, zamówieniami i rozliczeniami. Wraz z rosnącą rolą e-faktur i systemów takich jak KSeF, pracownicy będą dostawać coraz więcej komunikatów dotyczących dokumentów finansowych.

PHISHLY opisywał już scenariusz fałszywej faktury w KSeF. Tam głównym ryzykiem było pobranie malware przez fałszywe powiadomienie. W omawianym wariancie nie chodzi o pobranie pliku, lecz o telefon. To inny moment decyzji i dlatego warto potraktować go jako osobny scenariusz szkoleniowy.

W polskiej firmie podobna wiadomość może podszywać się pod dostawcę oprogramowania, operatora telekomunikacyjnego, firmę kurierską, marketplace, bank, usługę chmurową, platformę e-commerce albo dostawcę urządzeń biurowych. Może dotyczyć odnowienia licencji, anulowania zamówienia, korekty faktury, rzekomej płatności kartą albo sporu o subskrypcję.

Dla księgowości i administracji najważniejsze jest oddzielenie emocji od procedury. Jeśli faktura budzi wątpliwości, nie dzwonimy na numer z wiadomości. Sprawdzamy sprawę przez znany kanał: konto u dostawcy, system finansowy, umowę, oficjalną stronę albo wcześniej zapisany kontakt.

Co powinien zrobić użytkownik

Jeżeli wiadomość informuje o nieznanej płatności, najpierw trzeba sprawdzić, czy transakcja istnieje naprawdę. Nie przez numer podany w wiadomości, ale przez samodzielne zalogowanie do banku, PayPal, systemu płatności, konta klienta albo systemu finansowego firmy.

Nie należy oddzwaniać na numer z podejrzanej faktury. Prawdziwa firma nie powinna wymuszać natychmiastowej rozmowy z numerem przesłanym w losowej wiadomości, aby anulować płatność, której odbiorca nie rozpoznaje.

Jeżeli rozmowa już się rozpoczęła i konsultant prosi o instalację programu, udostępnienie ekranu, dane karty, kod SMS, BLIK, przelew testowy albo zalogowanie do banku, trzeba ją przerwać. Nie trzeba spierać się z rozmówcą ani tłumaczyć. Wystarczy zakończyć kontakt i zgłosić zdarzenie.

W firmie użytkownik powinien przekazać wiadomość do IT/Security i finansów. Nawet jeśli sam nie dał się oszukać, ta sama kampania może trafić do innych osób.

Co powinny zrobić finanse, IT i SOC

Dział finansowy powinien mieć prostą procedurę weryfikacji faktur i sporów płatniczych. Numer telefonu z wiadomości nie może być podstawą kontaktu. Dane dostawców powinny być weryfikowane w systemie finansowym, umowie albo przez wcześniej znane kanały.

IT i SOC powinny traktować takie zgłoszenia jako realne incydenty socjotechniczne, nawet jeśli nie ma linku ani załącznika. Warto analizować nadawcę, treść, numer telefonu, grafiki, podobne wiadomości w organizacji i ewentualne próby kontaktu z innymi pracownikami.

Dobrą praktyką jest oznaczanie wzorców: fałszywe odnowienie, wysoka kwota, numer do anulowania, presja czasu, mieszanie marek, prośba o zdalny dostęp. Te elementy można później wykorzystać w szkoleniach i symulacjach.

W testach phishingowych dla firm taki scenariusz pozwala sprawdzić, czy pracownik rozumie, że nie każdy atak kończy się kliknięciem. Czasem poprawną reakcją jest nie zadzwonić.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik tylko odebrał wiadomość i nie dzwonił, powinien ją zgłosić oraz nie usuwać. Zespół bezpieczeństwa może wykorzystać ją do blokady, ostrzeżenia i sprawdzenia, czy kampania dotarła do innych osób.

Jeżeli użytkownik zadzwonił, ale nie podał danych i niczego nie instalował, nadal warto zgłosić zdarzenie. Numer telefonu, godzina rozmowy i przebieg rozmowy pomagają ocenić kampanię oraz przygotować ostrzeżenie dla innych.

Jeżeli podał dane karty, kod SMS, BLIK, dane logowania albo wykonał przelew, trzeba natychmiast skontaktować się z bankiem, zablokować kartę lub konto zgodnie z instrukcją banku, sprawdzić transakcje i zachować dowody. W firmie należy równolegle uruchomić procedurę incydentową.

Jeżeli zainstalował narzędzie zdalnego dostępu lub udostępnił ekran, urządzenie trzeba traktować jak potencjalnie skompromitowane. Należy odłączyć je od sieci zgodnie z procedurą, nie usuwać aplikacji przed kontaktem z IT/Security i sprawdzić, czy atakujący nie uzyskał dostępu do poczty, systemu finansowego, bankowości albo aplikacji SaaS.

Jeżeli rozmowa dotyczyła płatności firmowej, potrzebna jest dodatkowa kontrola zmian rachunków bankowych dostawców, zaplanowanych przelewów i korespondencji z kontrahentami. Taki scam może być początkiem Business Email Compromise, a nie jednorazowym telefonem.

Najważniejsza zasada

Fałszywa faktura z numerem telefonu pokazuje, że phishing nie zawsze ma techniczny ładunek. Czasem złośliwy jest sam proces, do którego wiadomość prowadzi.

Najlepsza zasada dla firmy jest prosta: fakturę, płatność i reklamację weryfikuj przez znany kanał, a nie przez numer podany w wiadomości, która wywołała panikę. Jeśli ktoś każe działać natychmiast, najpierw przerwij kontakt i wróć do procedury.