Oplichting via e-mail met openstaande facturen

Onverwachte e-mails die onmiddellijke aandacht vereisen, moeten altijd met de nodige voorzichtigheid worden behandeld, vooral als het gaat om facturen, betalingen of verzoeken om documenten te ondertekenen. Cybercriminelen vermommen phishingcampagnes vaak als legitieme zakelijke communicatie om een gevoel van urgentie te creëren en ontvangers onder druk te zetten om zonder verificatie actie te ondernemen. De e-mail met de melding 'Openstaande factuur' is een voorbeeld van zo'n oplichting. Hoewel deze e-mail lijkt op een melding van DocuSign, zijn deze berichten niet verbonden aan legitieme bedrijven, organisaties of entiteiten en zijn ze uitsluitend bedoeld om gevoelige informatie te stelen.

De misleiding van de 'openstaande factuur'

De oplichting begint met de onderwerpregel 'Openstaande factuur' en is zorgvuldig ontworpen om op een authentieke DocuSign-melding te lijken. De e-mail informeert de ontvangers dat een factuur zogenaamd ter beoordeling en ondertekening klaarstaat en bevat een opvallende knop 'DOCUMENT BEOORDELEN & ONDERTEKENEN'.

Om het bericht overtuigender te laten lijken, gebruiken de oplichters professionele huisstijlelementen en taalgebruik dat legitieme zakelijke correspondentie nabootst. Het doel is om de argwaan van de ontvanger te verminderen en hem of haar aan te moedigen om op de e-mail te reageren.

Gecreëerde urgentie door middel van juridische dreigingen

Een belangrijk kenmerk van deze phishingcampagne is het gebruik van angst en urgentie. De e-mail bevat een 'Audit Compliance'-melding waarin wordt beweerd dat de betalingstermijn al is verstreken en wordt gewaarschuwd dat er juridische stappen kunnen volgen als de factuur niet onmiddellijk wordt betaald.

Deze tactiek wordt bewust ingezet om paniek te zaaien. Wanneer mensen denken dat ze financiële sancties of juridische gevolgen te wachten staan, reageren ze eerder impulsief en klikken ze op links zonder de legitimiteit van het bericht goed te controleren.

De valstrik van de nep-inlogpagina

Door op de aangegeven knop te klikken, wordt geen factuur of een echt DocuSign-document geopend. In plaats daarvan worden ontvangers doorgestuurd naar een frauduleuze inlogpagina voor webmail, gehost op het Firebase Storage-platform van Google. De pagina is ontworpen om te lijken op een cPanel Webmail-inlogportaal en vraagt om het e-mailadres en wachtwoord van de gebruiker.

Alle informatie die op deze nepwebsite wordt ingevoerd, wordt direct naar de aanvallers verzonden. Het doel van de oplichting is simpel: e-mailgegevens bemachtigen en ongeautoriseerde toegang krijgen tot de accounts van de slachtoffers.

Waarom gestolen e-mailgegevens waardevol zijn

Een e-mailaccount dient vaak als toegangspoort tot talloze online diensten. Zodra cybercriminelen er toegang toe hebben, kunnen ze:

• Probeer de wachtwoorden van andere accounts die aan het e-mailadres zijn gekoppeld opnieuw in te stellen.

• Verstuur vanuit het gehackte account extra phishing-e-mails naar vrienden, collega's of zakelijke contacten.

• Zoek naar gevoelige informatie die is opgeslagen in e-mails en bijlagen.

• Verkoop de gestolen inloggegevens op illegale cybercriminele marktplaatsen.

Omdat veel online diensten gebruikmaken van wachtwoordherstel via e-mail, kan de inbreuk op één enkel e-mailaccount snel escaleren tot een veel groter beveiligingsincident.

De reputatie van DocuSign misbruiken

DocuSign is een legitiem en veelgebruikt platform voor elektronische handtekeningen. Het heeft echter absoluut geen verband met de e-mails over 'openstaande facturen'. De oplichters misbruiken simpelweg de naam, het merk en de reputatie van het bedrijf om de frauduleuze berichten betrouwbaar te laten lijken.

Deze vorm van identiteitsvervalsing komt extreem vaak voor in phishingcampagnes. Bekende bedrijven worden vaak als dekmantel gebruikt, omdat ontvangers vertrouwde merken eerder herkennen en vertrouwen.

Het verborgen malwarerisico

Hoewel het primaire doel van deze campagne het stelen van inloggegevens is, worden phishing-e-mails van dit type vaak ook in verband gebracht met de verspreiding van malware. Cybercriminelen gebruiken spamberichten vaak om schadelijke software te verspreiden via geïnfecteerde bijlagen of gevaarlijke links.

Veelvoorkomende bestandstypen die misbruikt worden, zijn onder andere:

• Uitvoerbare bestanden en archieven.
• Office-documenten die schadelijke macro's bevatten.
• PDF-bestanden en scriptgebaseerde bijlagen.
• Links die leiden tot het downloaden van schadelijke software.

In veel gevallen is een vorm van gebruikersinteractie, zoals het openen van een bijlage, het inschakelen van macro's of het handmatig downloaden van een bestand, vereist voordat een apparaat gecompromitteerd raakt.

Hoe te reageren op een e-mail met de melding 'Openstaande factuur'

Als een dergelijke e-mail in uw inbox verschijnt, moet u deze negeren en verwijderen. Ontvangers moeten voorkomen dat ze op links klikken, bijlagen openen of inloggegevens verstrekken. Iedereen die al gegevens heeft ingevoerd op de nepwebsite, moet onmiddellijk het wachtwoord van het betreffende e-mailaccount wijzigen en de wachtwoorden van alle andere diensten die dezelfde inloggegevens gebruiken, bijwerken. Het inschakelen van multifactorauthenticatie waar mogelijk kan het risico op verdere accountinbreuken aanzienlijk verkleinen.

Slotgedachten

De e-mail met de melding 'Openstaande factuur' is een phishing-scam die zich voordoet als DocuSign om ontvangers ertoe te verleiden hun e-mailgegevens prijs te geven. Er is geen openstaande factuur, geen legitiem document dat op ondertekening wacht en geen enkele connectie met de echte DocuSign-service. Het hele bericht is een zorgvuldig opgezette fraude, bedoeld om gevoelige informatie te stelen en mogelijk verdere cyberaanvallen mogelijk te maken. Het is belangrijk om sceptisch te blijven ten opzichte van onverwachte e-mails en verzoeken zelfstandig te controleren. Dit zijn enkele van de meest effectieve manieren om je te beschermen tegen phishing.