[ext] AW: Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend
infoomatic
infoomatic at gmx.at
Mo Aug 4 10:20:32 CEST 2025
Wir hatten Ende Mai/Anfang Juni einen incident mit dem selben Schema:
Am 27.5. war bekannt dass es im Chrome Browser eine Lücke gibt die im
Netz mit zero day Exploits ausgenutzt wurde, Anfang Juni gab es dann
einen Emergency Release von Google zum Fixen von CVE-2025-5419.
In den Logs erfuhren wir dass ab 26.5. Fremdzugriffe auf das Konto
erfolgten, die starke Vermutung liegt nahe dass vom Browser die
Session-Cookies von Microsoft 365 abgegriffen wurden.
In den darauffolgenden Tagen haben die Angreifer die Mailbox
durchforstet und dann ähnliche Domains registriert wie die die in den
letzten Mails verwendet wurden, zB irgendwo ein i drinnen, oder ein
Doppelbuchstabe. Dann wurde eine Mailinfrastruktur für die Domains
aufgesetzt, auch mit den selben Usernamen wie die mit dem unser Opfer
kommuniziert hatte.
Von diesen gefakten Domains wurde nahtlos an die Diskussionen
angeknüpft, mit den fast gleichen Empfängern (selbe Usernamen, nur halt
in der Domain irgendwo ein Zeichen falsch). Die Rechnung hat das
Backoffice Team bei uns dann stutzig gemacht weil die IBAN nicht mit
bisherigen Rechnungen übereingestimmt hatte, und danach wurde das alles
überprüft. Wenn das allerdings die erste Rechnung wäre, tja, hätten wir
vermutlich überwiesen.
LG,
Robert
On 04.08.25 09:43, Michael Schumacher via Postfixbuch-users wrote:
>>>> Gibt es ggf. offene Sicherheitslücken?
>>>
>>> Ganz einfach phishing.
>
> hier sah es folgendermassen aus:
>
> - Angreifer erlangt Zugriff auf E-mail des Kunden.
>
> - Angreifer sieht, dass wir eine Rechnung stellen.
>
> - Angreifer schreibt an Kunde eine E-mail mit gefälschtem Absender an Kunde und teilt ihm mit, dass sich unsere Kontonummer geändert hat.
>
> - Der Kunde verwendet Outlook und sieht im Absender Feld unsere E-mail-Adresse.
>
> - Der Kunde sieht in der Default-Einstellung von Outlook nicht das "return-to" Feld, in dem die Mail-Adresse der Angreifers steht.
>
> - Der Kunde ist misstrauisch und stellt eine Rückfrage.
>
> - Diese Rückfrage geht an den Angreifer, der den Kunden beruhigt.
>
> - Kunde überweist Geld auf Angreifer-Konto.
>
> - Schaden : 25000€
>
> Das ist aber schon vor zwei Jahren passiert, also kein neuer Angriffsvektor.
>
Mehr Informationen über die Mailingliste Postfixbuch-users