E-mail-svindel med leverandørevaluering

Uventede e-mails, der skaber en følelse af hastende information, bør altid behandles med forsigtighed, især når de anmoder om følsomme oplysninger eller opfordrer brugere til at klikke på links. Cyberkriminelle forklæder ofte phishing-kampagner som legitim forretningskommunikation i et forsøg på at narre modtagere til at afgive fortrolige data. De såkaldte "leverandørevaluerings"-e-mails, der diskuteres her, er ikke forbundet med nogen rigtige virksomheder, organisationer, entreprenører eller indkøbsenheder. I stedet er de en del af en phishing-operation, der stjæler legitimationsoplysninger, og som er designet til at kompromittere e-mail-konti og fremme yderligere svindel.

Forklaring af svindelnumret med 'leverandørevaluering'

Svindelmails ankommer typisk med emnelinjen 'Dokument klar til gennemgang' og udgiver sig for at være en professionel tilbudsinvitation relateret til et infrastrukturinitiativ, der angiveligt er planlagt til begyndelsen af 2. kvartal 2026. Modtagerne informeres om, at de er blevet udvalgt til at gennemgå en anmodning om tilbud (RFQ) som en del af en formodet leverandørevalueringsmulighed.

For at gøre budskabet overbevisende indeholder e-mailen, hvad der ligner en vedhæftet PDF-fil med navnet 'Bid_Invitation_RFQ_2026_Q2.pdf' sammen med knappen 'Gennemgå RFQ sikkert'. Ingen af elementerne er dog en legitim vedhæftning. Begge er blot klikbare links, der omdirigerer brugere til det samme ondsindede websted.

Beskeden forsøger også at presse modtagerne til at handle hurtigt ved at nævne en indsendelsesfrist og vise meddelelser som "linket udløber om 20 dage". Disse hastetaktikker bruges ofte i phishing-angreb for at reducere sandsynligheden for, at målene omhyggeligt undersøger e-mailen, før de klikker på den.

Sådan fungerer legitimationstyveri

Når en modtager klikker på den falske vedhæftede fil eller knappen til at gennemgå den, omdirigeres de til en falsk loginside, der er designet til at imitere en betroet e-mailudbyder. Disse phishing-sider er ofte meget sofistikerede og kan automatisk registrere offerets e-maildomæne for at vise en velkendt loginportal.

For eksempel kan Gmail-brugere se en loginskærm med Google-tema, mens Outlook-brugere kan blive præsenteret for en brugerflade i Microsoft-stil. Denne personalisering øger sandsynligheden for, at ofrene vil tro, at siden er ægte.

Alle loginoplysninger, der indtastes i den falske formular, sendes direkte til angriberne. Da e-mailkonti ofte fungerer som gendannelsespunkt for andre onlinetjenester, kan stjålne loginoplysninger føre til udbredt kontokompromittering.

Hvorfor stjålne e-mailoplysninger er farlige

Kompromitterede e-mailkonti kan give cyberkriminelle omfattende adgang til et offers digitale liv. Når angribere får kontrol over en indbakke, kan de:

• Nulstil adgangskoder til bank-, shopping-, cloud-lagrings- eller sociale mediekonti, der er knyttet til e-mailadressen

• Læs følsomme meddelelser og økonomiske oplysninger

• Send phishing-e-mails til kolleger, kunder, venner eller familiemedlemmer

• Udfør BEC-angreb (Compromitting Business Mail) mod arbejdsgivere

• Sælg stjålet kontoadgang på underjordiske cyberkriminalitetsmarkedspladser

Risikoen bliver endnu større, når brugerne genbruger den samme adgangskode på tværs af flere konti. En enkelt stjålet legitimationsoplysninger kan potentielt låse op for adskillige forbundne tjenester.

Tegn på, at e-mailen er bedragerisk

Flere indikatorer afslører den ondsindede natur af denne phishing-kampagne. Den formodede afsenderorganisation og kontaktoplysninger er fabrikerede, og beskeden er i høj grad afhængig af hastende karakter for at fremkalde øjeblikkelig handling. Derudover er den falske PDF-vedhæftning blot et forklædt hyperlink snarere end en legitim fil.

Et andet vigtigt advarselstegn er anmodningen om at logge ind via en ekstern side. Legitime indkøbs- eller leverandørevalueringsprocesser kræver sjældent, at modtagere verificerer deres e-mailoplysninger via irrelevante tredjepartslinks sendt i uopfordrede e-mails.

Vigtigst af alt, har den e-mailudbyder, som phishing-siden forsøger at imitere, absolut ingen forbindelse til selve svindelnumret.

Potentielle malwarerisici

Selvom denne specifikke kampagne primært fokuserer på tyveri af legitimationsoplysninger, genbruges lignende phishing-skabeloner ofte til at distribuere malware. Cyberkriminelle bruger almindeligvis e-mail som leveringsmetode for skadelig software ved at integrere skadeligt indhold i vedhæftede filer eller links.

Trusselaktører kan distribuere inficerede Microsoft Office-dokumenter, PDF-filer, ZIP- eller RAR-arkiver, JavaScript-filer eller eksekverbare programmer. I mange tilfælde begynder infektionsprocessen først, efter at offeret åbner filen, aktiverer makroer eller manuelt kører downloadet software.

Nogle phishing-kampagner undgår helt vedhæftede filer og leder i stedet ofre til ondsindede websteder, der er i stand til automatisk at starte downloads af malware eller narre brugere til at installere falske softwareopdateringer og installationsprogrammer.

Afsluttende tanker

E-mailkampagnen 'Leverandørevaluering' er et phishing-svindelnummer, der udgiver sig for at være en legitim forretningsbudsinvitation. Dens primære mål er at stjæle e-mailkontooplysninger via en overbevisende, men falsk loginside. E-mailsene er ikke knyttet til nogen autentisk organisation, et leverandørstyringsprogram eller en indkøbsproces.

Modtagere bør undgå at interagere med beskeden, afstå fra at klikke på indlejrede links eller knapper og slette e-mailen med det samme. Det er vigtigt at forblive forsigtig med uopfordret forretningskommunikation for at beskytte personlige oplysninger, virksomhedskonti og økonomisk sikkerhed mod stadig mere sofistikerede cybertrusler.