Required Order Email Scam

Na onderzoek van de e-mails met de vereiste bestelling hebben onderzoekers op het gebied van informatiebeveiliging onomstotelijk vastgesteld dat deze berichten een phishing-tactiek vormen. De e-mails zijn zo gemaakt dat het lijkt alsof het legitieme bestellingen van een eerdere klant zijn. Ontvangers worden verleid om de inloggegevens van hun e-mailaccount op te geven door een phishing-website te bezoeken, vermomd als een beveiligd document met de veronderstelde bestelgegevens.

De vereiste e-mailoplichting met bestellingen kan ernstige gevolgen hebben voor slachtoffers

In de spam-e-mails, die doorgaans de onderwerpregel 'Aankooporder en aanvraag op [specifieke datum en tijd]' hebben (hoewel de exacte details kunnen variëren), wordt gevraagd of de ontvanger naar Frankfurt, Duitsland verzendt. De afzender beweert ten onrechte dat hij in 2019 een bestelling bij de ontvanger heeft geplaatst en geeft aan geïnteresseerd te zijn in een nieuwe aankoop. De e-mail instrueert ontvangers om in te loggen via een 'Excel online-pagina' om de nieuwe bestelling te bekijken en een bijgewerkte Proforma-factuur (PI) te verstrekken.

Alle informatie in deze frauduleuze e-mails is echter volledig verzonnen en ze zijn niet gelieerd aan legitieme entiteiten.

Bij onderzoek van de phishing-site die door deze spam-e-mails wordt gepromoot, ontdekten onderzoekers dat deze eruit ziet als een wazig Microsoft Excel-spreadsheet met het label 'Excel cloud connect'. Een pop-upbericht dat op de pagina wordt weergegeven, dringt erop aan dat gebruikers zich moeten aanmelden met hun e-mailgegevens om toegang te krijgen tot het bestand.

Wanneer gebruikers hun inloggegevens invoeren op phishing-websites zoals deze, wordt de informatie geregistreerd en naar fraudeurs verzonden. De mogelijke risico's om het slachtoffer te worden van dergelijke phishing-tactieken reiken veel verder dan het verliezen van een e-mailaccount. Gekaapte e-mailaccounts kunnen worden gebruikt om toegang te krijgen tot gekoppelde accounts en platforms, waardoor gebruikers worden blootgesteld aan talloze gevaren.

Cybercriminelen kunnen bijvoorbeeld de verzamelde identiteiten gebruiken om verschillende frauduleuze activiteiten uit te voeren, zoals het aanvragen van leningen of donaties aan contacten, het promoten van tactieken of het verspreiden van malware. Bovendien kan het compromitteren van vertrouwelijke of gevoelige inhoud die op platforms is opgeslagen, leiden tot chantage of andere illegale activiteiten. Bovendien kunnen gestolen financiële rekeningen, waaronder online bankieren, geldoverboekingsdiensten, e-commerceplatforms en digitale portemonnees, worden misbruikt om frauduleuze transacties en ongeoorloofde online aankopen uit te voeren.

Hoe herken je phishing-e-mails die zich verspreiden als lokmiddel voor online tactieken?

Het herkennen van phishing-e-mails, die vaak worden gebruikt als lokmiddel voor online tactieken, is van cruciaal belang om uzelf te beschermen tegen het slachtoffer worden van cyberfraude. Hier zijn enkele belangrijke strategieën die gebruikers kunnen gebruiken om phishing-e-mails te identificeren:

• Controleer het e-mailadres van de afzender : controleer het e-mailadres van de afzender om te controleren of dit overeenkomt met het domein van de legitieme organisatie. Phishers gebruiken vaak misleidende e-mailadressen die op echte e-mailadressen kunnen lijken, maar kleine variaties of spelfouten bevatten.

• Onderzoek de aanhef en toon : legitieme organisaties spreken ontvangers doorgaans aan met hun naam of gebruikersnaam in gepersonaliseerde e-mails. Wees voorzichtig met generieke begroetingen zoals 'Beste klant' of overdreven dringende of bedreigende taal, aangezien dit veel voorkomende tactieken zijn die door phishing-e-mails worden gebruikt om angst of urgentie op te wekken.

• Zoeken naar spel- en grammaticafouten : Phishing-e-mails bevatten vaak spelfouten, grammaticale fouten of lastige formuleringen. Legitieme organisaties hanteren doorgaans professionele communicatienormen en lezen hun e-mails grondig na.

• Evalueer de inhoud en verzoeken : Wees op uw hoede voor ongewone verzoeken om gevoelige informatie, zoals wachtwoorden, accountnummers of persoonlijke gegevens, vooral als in de e-mail wordt beweerd dat deze dringend moeten worden verstrekt. Toegewijde organisaties vragen doorgaans niet om gevoelige informatie via e-mail en bieden alternatieve veilige methoden voor dergelijke communicatie.

• Koppelingen en bijlagen verifiëren : Beweeg over koppelingen in de e-mail om een voorbeeld van de URL te bekijken zonder erop te klikken. Controleer op inconsistenties tussen de weergegeven link en de daadwerkelijke bestemming. Vermijd toegang tot bijlagen van onbekende afzenders, aangezien deze malware of frauduleuze scripts kunnen bevatten.

• Beoordeel het ontwerp en de branding : Phishing-e-mails bootsen vaak het ontwerp en de branding van legitieme organisaties na om overtuigend over te komen. Bij zorgvuldig onderzoek kunnen echter verschillen in logo's, lettertypen of opmaak aan het licht komen die erop wijzen dat de e-mail frauduleus is.

• Wees voorzichtig met ongevraagde bijlagen of downloads : Wees voorzichtig bij het ontvangen van onverwachte bijlagen of downloads, vooral als deze u uitnodigen om macro's in te schakelen of scripts uit te voeren. Dit kunnen tactieken zijn die worden gebruikt om malware op uw apparaat te plaatsen.

• Verifieer ongebruikelijke verzoeken via alternatieve kanalen : Als een e-mail vraagt om ongebruikelijke acties of informatie, zoals overboekingen of dringende accountupdates, verifieer dan de aanvraag onafhankelijk via een vertrouwde bron of door rechtstreeks contact op te nemen met de organisatie met behulp van geverifieerde contactgegevens.

• Vertrouw op uw instinct : neem niet het risico als iets aan de e-mail niet klopt of te mooi lijkt om waar te zijn. Vertrouw op uw instinct en onderneem geen acties die uw veiligheid of privacy in gevaar kunnen brengen.

Door waakzaam te blijven en deze technieken toe te passen, kunnen gebruikers phishing-e-mails beter herkennen en zichzelf beschermen tegen online tactieken en fraude.