[ext] AW: Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend

infoomatic infoomatic at gmx.at
Mo Aug 4 10:20:32 CEST 2025


Wir hatten Ende Mai/Anfang Juni einen incident mit dem selben Schema:

Am 27.5. war bekannt dass es im Chrome Browser eine Lücke gibt die im 
Netz mit zero day Exploits ausgenutzt wurde, Anfang Juni gab es dann 
einen Emergency Release von Google zum Fixen von CVE-2025-5419.

In den Logs erfuhren wir dass ab 26.5. Fremdzugriffe auf das Konto 
erfolgten, die starke Vermutung liegt nahe dass vom Browser die 
Session-Cookies von Microsoft 365 abgegriffen wurden.

In den darauffolgenden Tagen haben die Angreifer die Mailbox 
durchforstet und dann ähnliche Domains registriert wie die die in den 
letzten Mails verwendet wurden, zB irgendwo ein i drinnen, oder ein 
Doppelbuchstabe. Dann wurde eine Mailinfrastruktur für die Domains 
aufgesetzt, auch mit den selben Usernamen wie die mit dem unser Opfer 
kommuniziert hatte.

Von diesen gefakten Domains wurde nahtlos an die Diskussionen 
angeknüpft, mit den fast gleichen Empfängern (selbe Usernamen, nur halt 
in der Domain irgendwo ein Zeichen falsch). Die Rechnung hat das 
Backoffice Team bei uns dann stutzig gemacht weil die IBAN nicht mit 
bisherigen Rechnungen übereingestimmt hatte, und danach wurde das alles 
überprüft. Wenn das allerdings die erste Rechnung wäre, tja, hätten wir 
vermutlich überwiesen.


LG,
Robert


On 04.08.25 09:43, Michael Schumacher via Postfixbuch-users wrote:
>>>> Gibt es ggf. offene Sicherheitslücken?
>>>
>>> Ganz einfach phishing.
> 
> hier sah es folgendermassen aus:
> 
> - Angreifer erlangt Zugriff auf E-mail des Kunden.
> 
> - Angreifer sieht, dass wir eine Rechnung stellen.
> 
> - Angreifer schreibt an Kunde eine E-mail mit gefälschtem Absender an Kunde und teilt ihm mit, dass sich unsere Kontonummer geändert hat.
> 
> - Der Kunde verwendet Outlook und sieht im Absender Feld unsere E-mail-Adresse.
> 
> - Der Kunde sieht in der Default-Einstellung von Outlook nicht das "return-to" Feld, in dem die Mail-Adresse der Angreifers steht.
> 
> - Der Kunde ist misstrauisch und stellt eine Rückfrage.
> 
> - Diese Rückfrage geht an den Angreifer, der den Kunden beruhigt.
> 
> - Kunde überweist Geld auf Angreifer-Konto.
> 
> - Schaden : 25000€
> 
> Das ist aber schon vor zwei Jahren passiert, also kein neuer Angriffsvektor.
> 



Mehr Informationen über die Mailingliste Postfixbuch-users