主要发现

• RFQ诈骗分子利用供应商提供的信用融资窃取实体货物
• 他们通过电子邮件和合法的在线报价表格接触潜在受害者
• 威胁参与者的技术水平各不相同，但核心骗局保持不变
• 这些参与者利用货运转发服务网络、独立仓库和个人钱骡来实施犯罪

概述

Proofpoint威胁研究人员深入研究了广泛的RFQ骗局，该骗局涉及利用常见的Net信用条款窃取各种高价值电子产品和货物。Net 15-90天信用是企业最常用的付款条件。

RFQ骗局是多种面向企业的欺诈类别，是欺诈参与者最常使用的前五种社会工程主题之一。在RFQ活动中，攻击者联系企业索取各种产品或服务的报价。他们收到的报价可用于制作非常有说服力的诱饵，发送恶意软件、钓鱼链接，甚至进行额外的商业电子邮件入侵和社交工程欺诈。

这些报价也可用作开设Net 15/30/45信用额度的借口，基于承诺在指定时间范围内支付应付款项来接收各种高价值货物。作为其融资请求的一部分，威胁参与者通常列出与技术业务流程相关的流行品牌和设备。所涉及的品牌和产品并非被恶意利用，而是作为欺诈的一部分，目的是盗窃和销售所请求的货物。

骗局剖析

Net RFQ骗局通常始于欺诈者冒充真实公司的采购代理，使用被盗或公开可用的信息，如雇主识别号码、数据通用编号系统号码、地址和真实员工的被盗身份。他们创建看起来令人信服的电子邮件签名，有时甚至复制公司品牌。

Proofpoint研究人员观察到Net RFQ诱饵冒充了各种公司、大学和中小型城市政府，但由于他们下的订单非常具体，他们倾向于选择专业行业。

支票在邮寄中

一旦目标批准了信用条件，通常会提供一个送货地址。攻击者可能在初始请求中包含此信息以加快流程，但出于操作安全考虑，他们通常会等到知道货物将被运送时才提供。他们可能需要延迟与钱骡的安排，钱骡是将货物或金钱从一个地点转移到另一个地点的中间人，将在住宅地址接收货物。

打破现状

Proofpoint威胁研究人员不仅跟踪和阻止了与这些组织相关的电子邮件，还通过与Proofpoint的关停团队合作，成功关停了19个与此特定活动相关的域名，以破坏他们的运营。

识别Net RFQ的方法

随着这种骗局的持续扩散，组织应牢记以下关键特征：

• 对表现出高度紧迫感的Net融资请求保持警惕
• 始终检查送货地址。如果是货运转发服务或住宅地址，请谨慎行事，并找到替代方法来验证您正在沟通的个人的身份和真实性
• 始终验证所引用公司的电子邮件地址和域名
• 对声称是知名公司或机构代表的免费邮件账户保持警惕

恶意域名和结果

Proofpoint的关停团队部署了双管齐下的缓解策略来中和所列域名的威胁：首先与领先的阻止列表合作伙伴合作，在全球范围内快速阻止这些域名；然后与关键基础设施提供商协调进行全面关停，以有效缓解当时的活动。