Angebotsanfragen als Köder: Cyberkriminelle missbrauchen Lieferantenkredite und stehlen Waren

Bei der von Proofpoint beobachteten Angriffswelle nutzen Cyberkriminelle täuschend echte Angebotsanfragen, um gezielt hochwertige Waren zu stehlen

[datensicherheit.de, 23.07.2025] Ein aktueller Beitrag im „Threat Blog“ von Proofpoint beschreibt eine neue, besonders raffinierte Betrugsmasche, welche demnach derzeit für erhebliche Schäden in Unternehmen unterschiedlichster Branchen sorgt: Bei der beobachteten Angriffswelle würden Cyberkriminelle mit täuschend echten Angebotsanfragen (Request for Quote / RFQ) und dem Missbrauch von Lieferantenkrediten gezielt hochwertige Waren stehlen.

Zahlungsziel „Net 15/30/45“: Rechnungsbetrag erst nach 15, 30 bzw. 45 Tagen fällig

Die Vorgehensweise sei ebenso einfach wie perfide: „Mithilfe gestohlener bzw. öffentlich zugänglicher Unternehmensinformationen geben sich die Täter als seriöse Einkäufer aus und bitten um Angebote für spezielle Produkte.“

• Dabei setzten sie ein auf den ersten Blick harmloses Mittel ein – das Zahlungsziel „Net 15/30/45“. Dabei handele es sich um eine im Geschäftsalltag übliche Vereinbarung, bei der die bestellte Ware zunächst geliefert wird und der Rechnungsbetrag erst nach 15, 30 oder 45 Tagen fällig werde.

Genau dieses Zahlungsziel ermögliche es nun den Betrügern, die Waren zu erhalten, ohne eine Zahlung leisten zu müssen.

Betrüger tarnen sich gerne als Händler, Universitäten oder Behörden, um Waren-Auswahl und Zahlungsziel plausibel zu machen

„Was diese Angriffe so gefährlich macht, ist die hohe Professionalität, mit der die Täter agieren.“ Sie nutzten nicht nur frei verfügbare Informationen über Unternehmen, sondern gingen auch äußerst geschickt bei der Erstellung ihrer Anfragen vor.

• „Von detailreichen Produktlisten bis hin zu überzeugenden E-Mail-Signaturen und gefälschten Domains wird alles eingesetzt, um die Illusion einer legitimen Geschäftsbeziehung zu erzeugen. Besonders häufig geben sich die Betrüger als Händler, Universitäten oder Behörden aus, weil dort teure und schwer erhältliche Geräte benötigt werden.“

Die Palette der angeforderten Waren reiche von Festplatten und Netzwerkhardware bis zu medizinischen Geräten wie Defibrillatoren oder Sauerstoffgeräten – allesamt Produkte, welche sich auf dem internationalen Schwarzmarkt schnell weiterverkaufen ließen.

Cyberkriminellen greifen auf ausgeklügeltes Netzwerk zurück, um Waren möglichst spurlos verschwinden zu lassen

Doch damit nicht genug: Nach der erfolgreichen Anbahnung der Lieferung – und faktischen Bewilligung eines Kredits – griffen die Kriminellen auf ein ausgeklügeltes Netzwerk zurück, um die Ware möglichst spurlos verschwinden zu lassen.

• Dazu zählten Frachtweiterleitungsdienste, die häufig nach Westafrika lieferten, gemietete Lagerhallen in den USA sowie „Mules“, also Zwischenhändler oder ahnungslose Helfer, die unter Umständen gar nicht wüssten, „dass sie Teil eines Betrugs sind“.

Der eigentliche Schaden bleibe oft lange unbemerkt, denn erst nach Ablauf der Zahlungsfrist werde dann klar, „dass keine Zahlung eingeht und die Ware längst außer Landes ist“.

Proofpoint-Kooperation mit Versandunternehmen konnte helfen, Waren-Lieferungen noch rechtzeitig zu stoppen

Proofpoint dokumentiert solche Angriffe und bietet Hilfe bei ihrer Bekämpfung an. „Durch die enge Zusammenarbeit mit Domain-Registraren konnten bereits zahlreiche betrügerische Webseiten abgeschaltet werden.“ In den meisten Fällen hätten die Täter daraufhin den Kontakt abgebrochen, in anderen seien sie rasch mit neuen Domains wieder aufgetaucht.

• Auch die Kooperation mit Versandunternehmen habe dazu geführt, „dass mehrere betrügerische Lieferungen gestoppt werden konnten, bevor die Waren endgültig verloren waren“.

Für Unternehmen stelle diese Entwicklung eine erhebliche Herausforderung dar. Herkömmliche Schutzmechanismen reichten oft nicht aus, weil die Angriffe auf persönlicher Ebene ansetzten und sehr detailliert vorbereitet würden. Umso wichtiger sei es, Mitarbeiter für diese Gefahr zu sensibilisieren und die internen Prozesse rund um die Kreditvergabe und Kundenprüfung zu optimieren. „Ein gesundes Maß an Skepsis gegenüber ungewöhnlichen Anfragen – insbesondere, wenn diese mit Dringlichkeit und der Bitte um ein weit entferntes Zahlungsziel einhergehen – kann im Ernstfall entscheidend sein!“

Weitere Informationen zum Thema:

proofpoint, Tim Kromphardt & Hannah Rapetti, 21.07.2025
NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

datensicherheit.de, 11.07.2025
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten / Fast die Hälfte der Befragten gibt an, im letzten Jahr Opfer eines Betrugs geworden zu sein

datensicherheit.de, 14.06.2025
Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen / „Instagram“-Imitationen stellen eine zunehmende Bedrohung dar, welche die Finanzen und den guten Ruf von Unternehmen ernsthaft gefährdet

datensicherheit.de, 04.06.2025
Betrugsblindheit europäischer Unternehmen: Trotz Angriffszunahme um 59 Prozent waltet Zuversicht / 74 Prozent der Unternehmen sind zuversichtlich, sich effektiv schützen zu können – obwohl nur 45 Prozent die Auswirkungen von Identitätsbetrug messen