Fałszywe faktury za cloud i hosting

TL;DR

Fałszywa faktura za cloud, hosting lub serwer nie musi zawierać linku ani malware, aby była groźna. Watchlist Internet ostrzegł przed fakturami od rzekomej firmy Sixt Server, które trafiały do przedsiębiorstw i dotyczyły ogólnych usług chmurowych, infrastruktury serwerowej oraz hostingu. Kwota miała wynosić zwykle około 2139 euro.

To scenariusz B2B fraud. Atakujący liczy na to, że faktura trafi do księgowości, administracji lub osoby akceptującej płatności i zostanie opłacona bez sprawdzenia umowy. W firmach, które mają wiele subskrypcji, domen, hostingu, SaaS i usług IT, taki dokument może wyglądać wystarczająco znajomo.

Ten temat uzupełnia klaster o fałszywych dokumentach biznesowych z malware, ale ma inny cel. Tu nie chodzi o uruchomienie pliku, lecz o nieuprawnioną płatność.

Jak działa fałszywa faktura B2B

Firma otrzymuje e-mail z fakturą. Dokument zawiera typowe elementy: numer faktury, numer klienta, datę, termin płatności, nazwę usługi i numer rachunku. Opis świadczenia jest ogólny, ale brzmi technicznie: chmura, hosting, serwery, przestrzeń dyskowa, infrastruktura, szyfrowanie albo obsługa strony internetowej.

To nie musi być przypadek. W wielu firmach takie usługi istnieją naprawdę, ale są rozproszone. Część jest kupowana przez IT, część przez marketing, część przez agencję, a część przez właściciela procesu biznesowego. Księgowość może nie mieć pełnego kontekstu, kto zamówił usługę.

Atakujący liczy na automatyzm. Faktura wygląda jak dokument, kwota jest możliwa do zaakceptowania, termin płatności jest konkretny, a opis nie budzi natychmiastowego sprzeciwu. Jeżeli firma nie ma procesu potwierdzania dostawcy i zamówienia, płatność może przejść.

W przeciwieństwie do wielu ataków phishingowych, tu nie musi być złośliwego linku. Ryzyko leży w procesie finansowym.

Dlaczego cloud i hosting są dobrą przynętą

Usługi cloud i hostingowe są dla wielu osób w firmie mało przejrzyste. Nazwy dostawców są różne, faktury mogą przychodzić po angielsku, a opisy bywają techniczne. To tworzy przestrzeń dla oszustwa.

Opis typu infrastruktura serwerowa dla strony firmowej może pasować do realnego procesu. Firma może mieć domenę, hosting, serwer, system mailingowy, sklep, CRM, narzędzie marketingowe, landing page albo aplikację SaaS. Jeżeli nikt nie sprawdzi relacji z dostawcą, ogólna faktura może zostać potraktowana jako kolejny koszt IT.

Atakujący mogą też wykorzystywać fakt, że dział finansowy nie zawsze zna szczegóły architektury. Księgowość widzi dokument, a nie techniczną rzeczywistość. Jeśli brakuje procedury akceptacji przez właściciela usługi, oszust ma szansę.

Dlatego ten scenariusz jest bliski Business Email Compromise, czyli BEC. Nie zawsze wymaga przejęcia skrzynki. Wystarczy przekonać firmę, że płatność jest należna.

Polski kontekst dla firm

W polskich firmach podobny scenariusz może dotyczyć hostingu, domen, certyfikatów SSL, poczty, systemu CRM, narzędzi marketingowych, sklepu internetowego, backupu, monitoringu, usługi SaaS albo utrzymania strony. Oszustwo nie musi kopiować znanej marki. Może udawać nowego lub mało znanego dostawcę.

Szczególnie narażone są firmy, które mają wiele małych faktur technologicznych i brak jednego rejestru usług. Jeśli księgowość nie wie, kto odpowiada za domeny, kto za hosting, kto za stronę i kto za narzędzia SaaS, trudniej odróżnić prawdziwy koszt od fałszywego.

Ryzyko rośnie także tam, gdzie faktury trafiają bezpośrednio do ogólnej skrzynki, a akceptacja odbywa się mailowo. Jeżeli ktoś odpowie, że pewnie to marketing albo pewnie IT, oszustwo zbliża się do sukcesu.

Ten scenariusz warto omawiać z księgowością, zakupami, administracją, IT i właścicielami systemów, a nie tylko z użytkownikami poczty.

Co powinien zrobić odbiorca faktury

Nie należy opłacać faktury tylko dlatego, że wygląda formalnie i dotyczy usługi IT. Pierwsze pytanie brzmi: kto zamówił usługę i gdzie jest potwierdzenie umowy, zamówienia albo wcześniejszej relacji z dostawcą.

Trzeba sprawdzić dane dostawcy, domenę, numer rachunku, historię korespondencji i wcześniejsze faktury. Nowy rachunek, nieznana firma, ogólny opis usługi i brak osoby kontaktowej po stronie zamawiającego to sygnały ostrzegawcze.

Jeżeli faktura dotyczy cloud, hostingu lub strony internetowej, powinna zostać potwierdzona przez właściciela usługi albo IT. Księgowość nie powinna samodzielnie rozstrzygać, czy organizacja korzysta z danej infrastruktury.

Warto też pamiętać, że rachunek w znanym kraju, poprawny numer IBAN albo profesjonalna strona dostawcy nie potwierdzają autentyczności faktury. Oszust może używać legalnego rachunku, rachunku przejętego lub podstawionej strony.

Co zrobić, jeśli to już się stało

Jeżeli firma opłaciła fałszywą fakturę, trzeba natychmiast skontaktować się z bankiem i sprawdzić możliwość zatrzymania lub cofnięcia przelewu. Czas ma znaczenie, bo środki mogą zostać szybko przeniesione dalej.

Należy zabezpieczyć e-mail, fakturę, nagłówki wiadomości, dane rachunku, historię akceptacji i korespondencję. Nie należy usuwać wiadomości ani poprawiać procesu bez zachowania dowodów.

Trzeba sprawdzić, czy podobne faktury trafiły do innych osób w firmie, spółek zależnych lub oddziałów. Warto też przejrzeć skrzynki ogólne, np. faktury, biuro, administracja, księgowość i zamówienia.

Jeżeli oszustwo ujawniło brak kontroli zakupów, konieczna jest poprawa procesu: rejestr dostawców, akceptacja właściciela usługi, weryfikacja nowego rachunku i zasada niezależnego potwierdzania nietypowych płatności.

Jak ćwiczyć ten scenariusz

Ten temat nadaje się do testów awareness, ale nie jako klasyczny link do kliknięcia. Lepszy jest scenariusz procesowy: faktura przychodzi do księgowości, opis brzmi technicznie, a odbiorca ma zdecydować, czy płacić, odrzucić czy potwierdzić z właścicielem usługi.

W kontrolowanym ćwiczeniu można sprawdzić, czy pracownicy pytają o zamówienie, rozpoznają nieznanego dostawcę, weryfikują rachunek i korzystają z drugiego kanału potwierdzenia. To pozwala mierzyć odporność procesu, nie tylko odporność na kliknięcia.

Konkretna zasada na koniec: faktura za usługę IT jest prawdziwa dopiero wtedy, gdy da się wskazać zamówienie, właściciela usługi i potwierdzoną relację z dostawcą. Sam profesjonalny dokument nie wystarcza.