E-Mail-Betrug: Ihre Bestellung ist unterwegs

Unerwartete E-Mails zu Käufen, Lieferungen oder Kontoaktivitäten sollten stets mit Vorsicht behandelt werden. Cyberkriminelle tarnen häufig schädliche Nachrichten als legitime Geschäftskorrespondenz, um Empfänger unter Druck zu setzen und sie zu unüberlegten Handlungen zu verleiten. Die E-Mail-Kampagne „Ihre Bestellung ist unterwegs“ ist ein Beispiel dafür. Detaillierte Analysen haben bestätigt, dass es sich um schädliche Spam-E-Mails handelt, die in keiner Verbindung zu seriösen Unternehmen, Versanddienstleistern, Einzelhändlern oder Organisationen stehen.

Gefälschte Versandbenachrichtigungen, die Dringlichkeit erzeugen sollen

Die E-Mails mit dem Betreff „Ihre Bestellung ist unterwegs“ sind so gestaltet, dass sie echten Versandbenachrichtigungen ähneln. Sie enthalten in der Regel Betreffzeilen mit Bestellnummern und Referenzcodes, um einen glaubwürdigen und professionellen Eindruck zu erwecken.

Die Empfänger werden darüber informiert, dass ihr Paket angeblich versandt wurde, und werden aufgefordert, auf den Button „Versanddetails ansehen“ zu klicken, um Sendungsverfolgungsinformationen und Lieferaktualisierungen abzurufen. Die Formulierung ist bewusst so gewählt, dass sie Neugierde weckt und Dringlichkeit erzeugt, wodurch die Wahrscheinlichkeit steigt, dass die Empfänger auf den bereitgestellten Link klicken, ohne die Nachricht sorgfältig zu lesen.

Tatsächlich beziehen sich die E-Mails nicht auf einen echten Kauf oder eine Lieferung. Ihr einziger Zweck besteht darin, die Empfänger auf eine schädliche Website weiterzuleiten, die Systeme mit Malware infiziert.

Die betrügerische Website hinter dem Betrug

Durch Anklicken des eingebetteten Links werden Nutzer auf eine betrügerische Seite auf increminder.com weitergeleitet. Die Seite ist so gestaltet, dass sie einem Bestellverwaltungs- oder Versandportal ähnelt, was den Eindruck von Seriosität zusätzlich verstärkt.

Die Webseite behauptet, die Versandinformationen seien verarbeitet worden und die Bestelldetails stünden zum Download bereit. Gleichzeitig wird darauf hingewiesen, dass die heruntergeladene Datei möglicherweise für den Empfang des Pakets benötigt werde – eine psychologische Taktik, um Besucher zum Download zu bewegen.

Statt Tracking-Informationen oder Bestelldokumentation liefert die Website eine schädliche Datei namens „ScreenConnect.ClientSetup.msi“. Diese Datei wird als normales Windows-Installationsprogramm präsentiert, enthält aber tatsächlich eine mit einem Trojaner infizierte Version von ScreenConnect.

Mit Trojanern infizierte Fernzugriffssoftware birgt ernsthafte Risiken

ScreenConnect ist eine legitime Fernwartungssoftware von ConnectWise, die von IT-Fachkräften häufig für Fernwartung und Systemverwaltung eingesetzt wird. Cyberkriminelle missbrauchen solche Tools jedoch oft, indem sie sie modifizieren und manipulierte Versionen verbreiten, die unbefugten Fernzugriff auf die Geräte der Opfer ermöglichen.

Sobald das schädliche Installationsprogramm ausgeführt ist, kann das Fernzugriffstool unbemerkt im Hintergrund arbeiten. Angreifer können dann umfassende Kontrolle über das kompromittierte System erlangen und eine Vielzahl schädlicher Aktivitäten durchführen, darunter:

• Diebstahl vertraulicher Dateien und gespeicherter Zugangsdaten
• Überwachung der Benutzeraktivitäten und Erfassung sensibler Informationen
• Installation zusätzlicher Schadsoftware wie Ransomware oder Spyware
• betrügerische Transaktionen durchführen oder Online-Konten missbrauchen

Da die Schadsoftware einen dauerhaften Fernzugriff ermöglicht, sollten betroffene Systeme als vollständig kompromittiert betrachtet werden.

Wie Malspam-Kampagnen Schadsoftware verbreiten

Spam-Kampagnen verbreiten häufig Schadsoftware, entweder über schädliche Anhänge oder über Links zu gefährlichen Webseiten. Oftmals sind die Dateien als Rechnungen, Quittungen, Versanddokumente oder Kontoauszüge getarnt, um die Empfänger zum arglistigen Öffnen zu verleiten.

Bei dieser Kampagne nutzen die Angreifer einen schädlichen Link anstelle eines direkten Anhangs. Empfänger, die dem Link folgen, werden auf ein gefälschtes Bestellportal weitergeleitet und dort dazu verleitet, die infizierte Installationsdatei herunterzuladen. Nach dem Start erlangt die Schadsoftware Fernzugriff, bleibt dabei aber für das Opfer weitgehend unsichtbar.

Diese Methode ermöglicht es Angreifern, einige E-Mail-Sicherheitsfilter zu umgehen, da die schädliche Nutzlast extern gehostet wird und nicht direkt an die E-Mail angehängt ist.

Sofortmaßnahmen für betroffene Nutzer

Wer die Installationsdatei „ScreenConnect.ClientSetup.msi“ heruntergeladen oder ausgeführt hat, sollte davon ausgehen, dass bereits ein unbefugter Zugriff auf das System stattgefunden haben könnte. Um potenziellen Schaden zu minimieren, wird dringend empfohlen, umgehend Maßnahmen zu ergreifen.

Es sollte unverzüglich ein vollständiger Viren- oder Malware-Scan durchgeführt werden, und alle sensiblen Passwörter des betroffenen Geräts sollten über ein separates, sicheres System geändert werden. Finanzkonten, E-Mail-Konten und geschäftliche Zugänge sollten ebenfalls auf verdächtige Aktivitäten überwacht werden.

Die schädliche E-Mail selbst sollte sofort gelöscht werden, und die Empfänger sollten vermeiden, auf Links zu klicken oder Dateien herunterzuladen, die mit der Nachricht in Verbindung stehen.

Schutz vor Betrugsmaschen im Lieferbereich

Phishing- und Malware-Kampagnen mit Bezug zu Lieferungen sind nach wie vor äußerst effektiv, da sie gängige Online-Shopping-Gewohnheiten und die Erwartung von Paketaktualisierungen ausnutzen. Angreifer verlassen sich darauf, dass die Empfänger schnell reagieren, bevor sie die Echtheit der Nachricht sorgfältig prüfen.

Nutzer können das Risiko dieser Bedrohungen verringern, indem sie Versandbenachrichtigungen direkt über die offiziellen Websites der Händler oder Kurierdienste überprüfen, Downloads aus unerwünschten E-Mails vermeiden und unerwarteten Lieferbenachrichtigungen skeptisch begegnen. Selbst E-Mails, die professionell und ansprechend wirken, können hinter überzeugendem Branding und dringlicher Sprache ernsthafte Sicherheitslücken verbergen.