Betrugs-E-Mail mit angeblich ausstehenden Rechnungen

Unerwartete E-Mails, die sofortige Aufmerksamkeit erfordern, sollten stets mit Vorsicht behandelt werden, insbesondere wenn sie Rechnungen, Zahlungsaufforderungen oder Unterschriftsaufforderungen enthalten. Cyberkriminelle tarnen Phishing-Kampagnen häufig als legitime Geschäftskorrespondenz, um Dringlichkeit vorzutäuschen und Empfänger zu unüberlegten Handlungen zu verleiten. Die E-Mail mit dem Betreff „Offene Rechnung“ ist ein Beispiel für einen solchen Betrug. Obwohl sie wie eine Benachrichtigung von DocuSign aussieht, stammen diese Nachrichten in keiner Verbindung zu seriösen Unternehmen, Organisationen oder Institutionen und dienen ausschließlich dem Diebstahl sensibler Daten.

Die Täuschung mit der „offenen Rechnung“

Die Betrugs-E-Mail hat den Betreff „Offene Rechnung“ und ist so gestaltet, dass sie einer authentischen DocuSign-Benachrichtigung täuschend ähnlich sieht. Die E-Mail informiert die Empfänger darüber, dass eine Rechnung angeblich auf Prüfung und Unterschrift wartet, und enthält einen auffälligen Button mit der Aufschrift „DOKUMENT PRÜFEN & UNTERSCHREIBEN“.

Um die Nachricht überzeugender wirken zu lassen, verwenden die Betrüger professionelle Branding-Elemente und eine Sprache, die legitimer Geschäftskorrespondenz ähnelt. Ziel ist es, das Misstrauen des Empfängers zu mindern und ihn zur Interaktion mit der E-Mail zu animieren.

Herbeigeführte Dringlichkeit durch juristische Drohungen

Ein Hauptmerkmal dieser Phishing-Kampagne ist die Ausnutzung von Angst und Dringlichkeit. Die E-Mail enthält eine „Audit-Compliance“-Mitteilung, in der behauptet wird, die Zahlungsfrist sei bereits abgelaufen, und vor möglichen rechtlichen Schritten gewarnt wird, falls die Rechnung nicht umgehend beglichen wird.

Diese Taktik wird bewusst eingesetzt, um Panik zu erzeugen. Wenn Menschen glauben, finanzielle Strafen oder rechtliche Konsequenzen zu befürchten, reagieren sie eher impulsiv und klicken auf Links, ohne die Echtheit der Nachricht gründlich zu prüfen.

Die Falle der gefälschten Anmeldeseite

Durch Klicken auf den bereitgestellten Button wird weder eine Rechnung noch ein echtes DocuSign-Dokument angezeigt. Stattdessen werden die Empfänger auf eine betrügerische Webmail-Anmeldeseite weitergeleitet, die auf der Firebase-Speicherplattform von Google gehostet wird. Die Seite ist so gestaltet, dass sie einem cPanel-Webmail-Anmeldeportal ähnelt und fragt nach der E-Mail-Adresse und dem Passwort des Nutzers.

Alle auf dieser gefälschten Seite eingegebenen Daten werden direkt an die Angreifer übermittelt. Der Zweck des Betrugs ist einfach: Zugangsdaten für E-Mails zu erlangen und sich unbefugten Zugriff auf die Konten der Opfer zu verschaffen.

Warum gestohlene E-Mail-Zugangsdaten wertvoll sind

Ein E-Mail-Konto dient oft als Zugang zu zahlreichen Online-Diensten. Sobald Cyberkriminelle Zugriff darauf erlangen, können sie Folgendes tun:

• Versuchen Sie, die Passwörter für andere mit der E-Mail-Adresse verbundene Konten zurückzusetzen.

• Versenden Sie weitere Phishing-E-Mails vom kompromittierten Konto an Freunde, Kollegen oder Geschäftspartner.

• Suchen Sie nach sensiblen Informationen, die in E-Mails und Anhängen gespeichert sind.

• Verkaufe die gestohlenen Zugangsdaten auf Untergrundmärkten für Cyberkriminelle.

Da viele Online-Dienste auf die Wiederherstellung von Passwörtern per E-Mail angewiesen sind, kann die Kompromittierung eines einzelnen E-Mail-Kontos schnell zu einem viel umfassenderen Sicherheitsvorfall eskalieren.

Ausnutzung des guten Rufs von DocuSign

DocuSign ist eine seriöse und weit verbreitete Plattform für elektronische Signaturen. Sie steht jedoch in keinerlei Verbindung zu den E-Mails mit dem Betreff „Offene Rechnung“. Die Betrüger missbrauchen lediglich den Namen, die Marke und den guten Ruf des Unternehmens, um die betrügerischen Nachrichten vertrauenswürdig erscheinen zu lassen.

Diese Masche der Identitätsfälschung ist bei Phishing-Angriffen weit verbreitet. Bekannte Unternehmen werden häufig als Tarnung genutzt, da Empfänger vertraute Marken eher erkennen und ihnen vertrauen.

Das versteckte Malware-Risiko

Obwohl das Hauptziel dieser Kampagne der Diebstahl von Zugangsdaten ist, werden Phishing-E-Mails dieser Art häufig auch mit der Verbreitung von Schadsoftware in Verbindung gebracht. Cyberkriminelle nutzen Spam-Nachrichten häufig, um Schadsoftware über infizierte Anhänge oder schädliche Links zu verbreiten.

Häufig missbrauchte Dateitypen sind:

• Ausführbare Dateien und Archive.
• Office-Dokumente, die schädliche Makros enthalten.
• PDF-Dateien und skriptbasierte Anhänge.
• Links, die zum Herunterladen schädlicher Software führen.

In vielen Fällen ist eine Form der Benutzerinteraktion erforderlich, wie beispielsweise das Öffnen eines Anhangs, das Aktivieren von Makros oder das manuelle Herunterladen einer Datei, bevor ein Gerät kompromittiert wird.

So antworten Sie auf eine E-Mail mit dem Betreff „Offene Rechnung“.

Wenn eine solche E-Mail im Posteingang landet, sollte sie ignoriert und gelöscht werden. Empfänger sollten keine Links anklicken, Anhänge öffnen oder Anmeldedaten preisgeben. Wer seine Daten bereits auf der gefälschten Website eingegeben hat, sollte umgehend das Passwort für das betroffene E-Mail-Konto ändern und die Passwörter für alle anderen Dienste aktualisieren, die dieselben Anmeldedaten verwenden. Die Aktivierung der Zwei-Faktor-Authentifizierung, wo immer möglich, kann das Risiko weiterer Kontoübernahmen deutlich verringern.

Schlussbetrachtung

Die E-Mail mit dem Betreff „Offene Rechnung“ ist ein Phishing-Versuch, der sich als DocuSign ausgibt, um Empfänger zur Preisgabe ihrer E-Mail-Zugangsdaten zu verleiten. Es gibt weder eine offene Rechnung noch ein legitimes Dokument, das auf eine Unterschrift wartet, und keine Verbindung zum echten DocuSign-Dienst. Die gesamte Nachricht ist ein sorgfältig gestalteter Betrug, der darauf abzielt, sensible Informationen zu stehlen und möglicherweise weitere Cyberangriffe zu ermöglichen. Skepsis gegenüber unerwarteten E-Mails und die eigenständige Überprüfung von Anfragen gehören nach wie vor zu den wirksamsten Schutzmaßnahmen gegen Phishing-Angriffe.