Betrugsversuch mit gefälschter Rechnung per E-Mail

Unerwartete E-Mails, insbesondere solche mit Rechnungen, Zahlungsanweisungen oder dringenden Geschäftsangelegenheiten, sollten stets mit Vorsicht behandelt werden. Cyberkriminelle tarnen Phishing-Angriffe häufig als legitime Unternehmenskommunikation, um Empfänger zur Preisgabe sensibler Informationen zu verleiten. Die E-Mail-Kampagne „Geänderte Rechnung“ ist ein Beispiel für eine solche Bedrohung.

Diese E-Mails stehen in keiner Verbindung zu legitimen Unternehmen, Organisationen oder Institutionen. Vielmehr sind sie Teil einer Operation zum Diebstahl von Zugangsdaten, die darauf abzielt, die Zugangsdaten von Firmen-E-Mail-Konten zu stehlen und potenziell ganze Geschäftssysteme zu gefährden.

Inhalt der betrügerischen Nachricht

Die Phishing-E-Mails haben typischerweise folgende Betreffzeile:

'Financial Management_Policy_v4'

Die Nachricht gibt vor, von einer Stelle namens „Portfolio- und Finanzmanagement“ zu stammen und informiert die Empfänger darüber, dass eine korrigierte Rechnung für ein nicht näher spezifiziertes Projekt vorliegt. Die Empfänger werden gebeten, den Empfang des Dokuments zu bestätigen, was der Nachricht mehr Glaubwürdigkeit und Dringlichkeit verleiht.

Die E-Mail enthält einen Eintrag mit der Bezeichnung „Approve_Operational Tender Invoice PDF“, der als Hauptköder dient. Ein Klick darauf leitet die Nutzer auf eine schädliche Webseite weiter, anstatt ihnen eine echte Rechnung anzuzeigen.

Das Portal für gefälschte Dokumente

Der eingebettete Link führt zu einer Phishing-Seite, die auf der Domain „dancing-froyo-1eba9c.netlify.app“ gehostet wird. Die Website ist sorgfältig so gestaltet, dass sie einem Adobe Acrobat-Dokumentenbetrachter ähnelt und eine gefälschte Datei mit dem Namen „Approve_Operational_Policy_v4.pdf“ anzeigt.

Es erscheint ein Pop-up-Fenster mit der Meldung, dass das Dokument gesperrt sei und eine Identitätsprüfung erforderlich sei, bevor der Zugriff gewährt werden könne. Das Opfer wird aufgefordert, Folgendes anzugeben:

• Eine geschäftliche E-Mail-Adresse mit der Bezeichnung „Corporate Identity (E-Mail)“
• Das zugehörige E-Mail-Passwort

Es wird kein Dokument tatsächlich entsperrt. Die Seite dient einzig und allein dazu, Anmeldedaten zu sammeln und direkt an die Angreifer weiterzuleiten, die die Kampagne durchführen.

Warum gestohlene Firmenausweise so gefährlich sind

Kompromittierte Firmen-E-Mail-Konten bieten Cyberkriminellen weit mehr als nur Zugriff auf ein einzelnes Postfach. Sobald Angreifer gültige Zugangsdaten erlangen, können sie sich Zugang zu Unternehmenssystemen, interner Kommunikation, Cloud-Speicherplattformen und gemeinsam genutzten Ressourcen verschaffen.

Gestohlene Accounts werden häufig missbraucht, um:

• Starten Sie zusätzliche Phishing-Kampagnen gegen Kollegen und Geschäftspartner.
• Zugriff auf vertrauliche Dokumente und sensible Unternehmensinformationen
• Führen Sie Angriffe auf geschäftliche E-Mail-Konflikte durch.
• Sich als Mitarbeiter und Führungskräfte ausgeben
• Den Einbruch auf das gesamte Netzwerk der Organisation ausweiten.

Der Diebstahl eines einzelnen Satzes von Zugangsdaten kann sich daher zu einem erheblichen Sicherheitsvorfall ausweiten, der potenziell zu finanziellen Verlusten, Datenschutzverletzungen und Reputationsschäden führen kann.

Malware-Risiken jenseits des Zugangsdatendiebstahls

Obwohl das Hauptziel des Betrugs mit der überarbeiteten Rechnung das Sammeln von Zugangsdaten ist, werden Kampagnen dieser Art häufig auch zur Verbreitung von Schadsoftware eingesetzt.

Cyberkriminelle nutzen regelmäßig Spam-E-Mails, um schädliche Dateien oder Links zu verbreiten. Anhänge können als PDF-Dokumente, Tabellenkalkulationen, komprimierte Archive, ausführbare Programme oder Skripte getarnt sein. In manchen Fällen wird die Installation der Schadsoftware durch das Öffnen der Datei oder die Aktivierung von Funktionen wie Makros ausgelöst.

Ebenso können in Phishing-E-Mails eingebettete Links Nutzer auf Webseiten weiterleiten, die automatisch Schadsoftware herunterladen oder Besucher dazu verleiten, schädliche Dateien manuell auszuführen. Die meisten Infektionen erfordern eine gewisse Interaktion des Nutzers, weshalb Wachsamkeit ein entscheidender Schutzmechanismus ist.

So antworten Sie auf die E-Mail mit der korrigierten Rechnung

Empfänger dieser Nachricht sollten jegliche Interaktion mit darin enthaltenen Links, Anhängen oder Aufforderungen unterlassen. Da weder die angebliche Firma „Portfolio and Financial Management“ noch irgendeine andere seriöse Organisation mit dieser Kampagne in Verbindung steht, ist die E-Mail als Betrug zu betrachten.

Am sichersten ist es, die Nachricht sofort zu löschen. Personen, die ihre Zugangsdaten bereits auf der gefälschten Website eingegeben haben, sollten unverzüglich ihre Passwörter ändern und die Informationssicherheits- oder IT-Abteilung ihres Unternehmens informieren, damit geeignete Maßnahmen zur Eindämmung des Vorfalls ergriffen werden können.

Schlussbetrachtung

Die E-Mail-Betrugsmasche mit der angeblichen korrigierten Rechnung ist eine ausgeklügelte Phishing-Kampagne, die routinemäßige Geschäftsprozesse ausnutzt, um Zugangsdaten für Firmen-E-Mails zu stehlen. Indem die Angreifer sich als Benachrichtigung über eine korrigierte Rechnung ausgeben und die Opfer auf ein gefälschtes Dokumentenportal weiterleiten, versuchen sie, unbefugten Zugriff auf Geschäftskonten zu erlangen und potenziell ganze Organisationen zu gefährden.

Ein gesundes Maß an Skepsis gegenüber unerwarteten E-Mails, die Überprüfung der Echtheit von Mitteilungen im Zusammenhang mit Rechnungen und die Vermeidung unaufgeforderter Anmeldeanfragen sind nach wie vor unerlässliche Maßnahmen zur Verhinderung von Phishing-Angriffen und zum Schutz sensibler Unternehmensinformationen.