Oplichting via e-mail met leveranciersevaluatie

Onverwachte e-mails die een gevoel van urgentie opwekken, moeten altijd met de nodige voorzichtigheid worden behandeld, vooral wanneer ze om gevoelige informatie vragen of gebruikers aanmoedigen om op links te klikken. Cybercriminelen vermommen phishingcampagnes vaak als legitieme zakelijke communicatie in een poging ontvangers te misleiden en vertrouwelijke gegevens te ontfutselen. De zogenaamde 'Vendor Evaluation'-e-mails die hier worden besproken, zijn niet verbonden aan echte bedrijven, organisaties, aannemers of inkooporganisaties. In plaats daarvan maken ze deel uit van een phishingoperatie gericht op het stelen van inloggegevens, bedoeld om e-mailaccounts te compromitteren en verdere fraude mogelijk te maken.

De oplichting met 'leveranciersevaluaties' uitgelegd

De frauduleuze e-mails hebben doorgaans als onderwerp 'Document klaar voor beoordeling' en doen zich voor als een professionele offerteaanvraag voor een infrastructuurproject dat zogenaamd begin tweede kwartaal van 2026 gepland staat. Ontvangers krijgen te horen dat ze zijn geselecteerd om een offerteaanvraag (RFQ) te beoordelen als onderdeel van een zogenaamde leveranciersevaluatie.

Om het bericht overtuigend te laten lijken, bevat de e-mail een ogenschijnlijk bijgevoegd PDF-bestand met de naam 'Bid_Invitation_RFQ_2026_Q2.pdf' en een knop 'Review RFQ Securely'. Geen van beide is echter een legitieme bijlage. Het zijn simpelweg klikbare links die gebruikers doorverwijzen naar dezelfde kwaadaardige website.

Het bericht probeert ontvangers ook onder druk te zetten om snel te handelen door een deadline te noemen en meldingen weer te geven zoals 'link verloopt over 20 dagen'. Deze tactieken om urgentie te creëren worden vaak gebruikt bij phishingaanvallen om de kans te verkleinen dat slachtoffers de e-mail zorgvuldig controleren voordat ze klikken.

Hoe werkt de diefstal van inloggegevens?

Zodra een ontvanger op de nepbijlage of de knop voor beoordeling klikt, wordt hij of zij doorgestuurd naar een frauduleuze inlogpagina die is ontworpen om een vertrouwde e-mailprovider na te bootsen. Deze phishingpagina's zijn vaak zeer geavanceerd en kunnen automatisch het e-maildomein van het slachtoffer detecteren om een vertrouwd ogend inlogportaal weer te geven.

Gmail-gebruikers zien bijvoorbeeld mogelijk een inlogscherm met een Google-thema, terwijl Outlook-gebruikers een interface in Microsoft-stijl te zien krijgen. Deze personalisatie vergroot de kans dat slachtoffers de pagina als authentiek beschouwen.

Alle inloggegevens die in het frauduleuze formulier worden ingevoerd, worden direct naar de aanvallers verzonden. Omdat e-mailaccounts vaak dienen als herstelpunt voor andere online diensten, kan gestolen inloginformatie leiden tot grootschalige accountcompromittering.

Waarom gestolen e-mailgegevens gevaarlijk zijn

Gehackte e-mailaccounts kunnen cybercriminelen uitgebreide toegang geven tot het digitale leven van een slachtoffer. Zodra aanvallers de controle over een inbox hebben verkregen, kunnen ze:

• Stel wachtwoorden opnieuw in voor bank-, winkel-, cloudopslag- of sociale media-accounts die aan het e-mailadres zijn gekoppeld.

• Lees gevoelige communicatie en financiële informatie.

• Verstuur phishing-e-mails naar collega's, klanten, vrienden of familieleden.

• Voer BEC-aanvallen (Business Email Compromise) uit tegen werkgevers.

• Verkoop gestolen accounttoegang op illegale cybercriminele marktplaatsen.

De risico's worden nog groter wanneer gebruikers hetzelfde wachtwoord voor meerdere accounts gebruiken. Eén gestolen inloggegeven kan potentieel toegang geven tot talloze gekoppelde diensten.

Tekenen dat de e-mail frauduleus is

Verschillende indicatoren wijzen op het kwaadaardige karakter van deze phishingcampagne. De vermeende afzender en contactgegevens zijn verzonnen en het bericht speelt sterk in op urgentie om onmiddellijke actie uit te lokken. Bovendien is de nep-pdf-bijlage slechts een verkapte hyperlink in plaats van een legitiem bestand.

Een ander belangrijk waarschuwingssignaal is het verzoek om in te loggen via een externe pagina. Bij legitieme inkoop- of leveranciersbeoordelingsprocessen wordt van ontvangers zelden vereist dat ze hun e-mailgegevens verifiëren via ongerelateerde links van derden die in ongevraagde e-mails worden verzonden.

Het allerbelangrijkste is dat de e-mailprovider die de phishingpagina probeert na te bootsen, absoluut niets te maken heeft met de oplichting zelf.

Potentiële malwarerisico’s

Hoewel deze specifieke campagne zich voornamelijk richt op het stelen van inloggegevens, worden vergelijkbare phishing-sjablonen vaak hergebruikt om malware te verspreiden. Cybercriminelen gebruiken e-mail vaak als methode om schadelijke software te verspreiden door schadelijke inhoud in bijlagen of links te verbergen.

Kwaadwillenden kunnen geïnfecteerde Microsoft Office-documenten, PDF-bestanden, ZIP- of RAR-archieven, JavaScript-bestanden of uitvoerbare programma's verspreiden. In veel gevallen begint het infectieproces pas nadat het slachtoffer het bestand opent, macro's inschakelt of gedownloade software handmatig uitvoert.

Sommige phishingcampagnes vermijden bijlagen volledig en leiden slachtoffers in plaats daarvan naar kwaadwillende websites die automatisch malware kunnen downloaden of gebruikers kunnen verleiden tot het installeren van nepsoftware-updates en -installatieprogramma's.

Slotgedachten

De e-mailcampagne 'Leveranciersevaluatie' is een phishing-oplichting die zich voordoet als een legitieme uitnodiging voor een zakelijke offerte. Het primaire doel is het stelen van inloggegevens via een overtuigende, maar frauduleuze inlogpagina. De e-mails zijn niet gekoppeld aan een authentieke organisatie, leveranciersbeheerprogramma of inkoopproces.

Ontvangers moeten de boodschap niet openen, niet op links of knoppen klikken en de e-mail direct verwijderen. Voorzichtigheid met ongevraagde zakelijke communicatie is essentieel voor de bescherming van persoonlijke gegevens, bedrijfsaccounts en financiële veiligheid tegen steeds geavanceerdere cyberdreigingen.