DHL Express Commerce Status-Update-E-Mail-Betrug

Cybersicherheitsexperten haben die Status-Update-E-Mails von DHL Express Commerce analysiert und festgestellt, dass es sich um Phishing-Nachrichten handelt, die darauf abzielen, die Anmeldedaten der Nutzer zu stehlen. Die E-Mails geben sich als legitime Benachrichtigungen von DHL Express Commerce aus und informieren die Empfänger fälschlicherweise darüber, dass ihnen drei Dokumente zugesendet wurden.

Die Nachrichten haben üblicherweise den Betreff „DHL Express Commerce“ und sind so gestaltet, dass sie Benachrichtigungen einer Dokumentenaustauschplattform ähneln. Um ihre Glaubwürdigkeit zu erhöhen, enthalten die E-Mails eine Zeile, die wie ein Anhang mit dem Namen „DHL Express Invoice Payment.docx“ aussieht. Es handelt sich jedoch nicht um einen echten Dateianhang, sondern um ein anklickbares Element, das die Empfänger zur Interaktion mit der E-Mail verleiten soll.

Dem Nachrichteninhalt zufolge hat das System drei Dokumente erkannt, die mit dem Empfänger geteilt wurden und angeblich sofort abgerufen werden können.

Die Falle des gefälschten Dokumentenportals

Bei dem Betrug geht es darum, die Empfänger dazu zu bringen, entweder auf den gefälschten Anhang oder auf den Button „Dokumente ansehen“ zu klicken. Unabhängig davon, welche Option gewählt wird, werden die Nutzer auf dieselbe betrügerische Webseite weitergeleitet.

Die verlinkte Seite wird auf Googles Firebase Storage-Plattform gehostet. Firebase ist zwar ein legitimer Cloud-Hosting-Dienst, doch Cyberkriminelle missbrauchen häufig seriöse Plattformen, um schädliche Inhalte zu hosten, da solche Domains oft vertrauenswürdig wirken und grundlegende Sicherheitsfilter umgehen können.

Sobald Besucher die Seite aufrufen, wird ihnen ein gefälschtes DHL Express-Anmeldeformular angezeigt, in dem nach E-Mail-Adresse und Passwort gefragt wird. Trotz des gefälschten Aussehens besteht keinerlei Verbindung zwischen der Seite und DHL. Alle eingegebenen Daten werden direkt an die Betrüger übermittelt, die diese Kampagne durchführen.

Warum gestohlene Zugangsdaten so wertvoll sind

Zugangsdaten gehören zu den begehrtesten Gütern von Cyberkriminellen. Viele Menschen verwenden dasselbe Passwort für mehrere Online-Konten, wodurch ein einziger kompromittierter Satz von Zugangsdaten äußerst wertvoll ist.

Wenn Angreifer durch Phishing-Angriffe an Anmeldeinformationen gelangen, testen sie diese häufig bei verschiedenen Diensten, darunter E-Mail-Plattformen, Online-Shops, Cloud-Speicher und soziale Netzwerke. Erfolgreiche Kontoübernahmen können zu unautorisierten Käufen, Identitätsdiebstahl, Kontoübernahmen, finanziellen Verlusten und dem Verlust des Zugangs zu wichtigen Online-Diensten führen.

Aus diesem Grund sollten Empfänger niemals Zugangsdaten auf Webseiten eingeben, die sie über unerwünschte E-Mails erreichen, ohne vorher die Legitimität der Nachricht und des Ziels zu überprüfen.

Warnzeichen, die den Betrug aufdecken

Mehrere Indikatoren belegen den betrügerischen Charakter dieser E-Mails:

• In der Nachricht wird behauptet, dass Dokumente unerwartet geteilt wurden und zur sofortigen Interaktion aufgefordert wird.
• Die angezeigte Datei „DHL Express Invoice Payment.docx“ ist lediglich ein anklickbarer Köder und kein echter Anhang.
• Beide anklickbaren Elemente führen zur selben Anmeldeseite anstatt zu einem legitimen Dokumentenaustauschdienst.
• Die Website verlangt E-Mail-Zugangsdaten, obwohl keine legitime Verbindung zu DHL besteht.
• Die Kommunikation versucht, den guten Ruf einer vertrauenswürdigen Marke zu nutzen, um das Vertrauen des Empfängers zu gewinnen.

Die mögliche Malware-Verbindung

Phishing-Kampagnen beschränken sich nicht immer auf den Diebstahl von Zugangsdaten. In manchen Fällen werden ähnliche Spam-E-Mails auch zur Verbreitung von Schadsoftware verwendet.

Cyberkriminelle tarnen Schadsoftware häufig als Rechnungen, Versandbenachrichtigungen, Zahlungsbestätigungen, Verträge oder andere übliche Geschäftsdokumente. Diese schädlichen Dateien können als ausführbare Programme, komprimierte Archive, PDF-Dokumente, Skripte oder Microsoft Office-Dateien mit eingebettetem Schadcode verbreitet werden.

Infektionen erfordern oft eine Interaktion des Nutzers, bevor Schadsoftware aktiviert wird. Das Öffnen eines schädlichen Anhangs, das Aktivieren von Makros, das Ausführen einer heruntergeladenen Datei oder das Klicken auf einen verdächtigen Link kann den Infektionsprozess auslösen. Vorsicht beim Umgang mit unerwünschten E-Mails verringert das Infektionsrisiko erheblich.

So reagieren Sie, wenn Sie die E-Mail erhalten

Wenn diese E-Mail in Ihrem Posteingang landet, sollten Sie auf keinen Fall auf darin enthaltene Links, Schaltflächen oder Anhänge klicken. Löschen Sie die Nachricht umgehend. Personen, die ihre Zugangsdaten bereits über die gefälschte Anmeldeseite eingegeben haben, sollten ihre Passwörter unverzüglich ändern und alle anderen Konten, die dieselben Zugangsdaten verwenden, aktualisieren. Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung, um sich zusätzlich vor unbefugtem Zugriff zu schützen.

Abschlussbewertung

Die E-Mail mit dem angeblichen Statusupdate von DHL Express Commerce ist eine Phishing-Betrugsmasche, die darauf abzielt, Anmeldedaten zu stehlen, indem sie sich als DHL Express Commerce ausgibt. Sowohl die gefälschte Anhangzeile als auch der Button „Dokumente anzeigen“ leiten die Nutzer auf dieselbe betrügerische Anmeldeseite weiter, die über einen missbrauchten Cloud-Dienst gehostet wird. Da diese Kampagne in keinerlei Verbindung zu DHL oder einer anderen seriösen Organisation steht, sollten Empfänger diese Nachrichten als schädlich einstufen, jegliche Interaktion mit deren Inhalt vermeiden und sie umgehend aus ihrem Posteingang löschen.