[datensicherheit.de, 28.07.2025] Proofpoint warnt in seiner aktuellen Stellungnahme vor Cyberkriminellen, welche mit „Remote Management Tools“ vermehrt Arbeitssuchende ins Visier nehmen. Diese „Tools können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen.

Abbildung: Proofpoint

Proofpoint warnt vor gefälschten Jobangeboten Cyberkrimineller – hier eine vorgetäuschte Einladung zur Besprechung via „zoom“

Gefälschte „zoom“-Einladungen führen zu einem „Remote Management Tool“

Proofpoint hat demnach mehrere Kampagnen identifiziert, bei denen betrügerische E-Mails mit Einladungen zu vermeintlichen Vorstellungsgesprächen versendet wurden: „Die E-Mails enthalten eine Einladung zu einem ,zoom’- oder ,Teams’-Call, um vermeintlich ein Stellenangebot zu besprechen. In Wirklichkeit führen die Links aber zu einem ,Remote Management Tool’ wie ,SimpleHelp’, ,ScreenConnect’ oder ,Atera’.“

• RMM-Software („Remote Monitoring and Management“) werde in Unternehmen legitimerweise von IT-Administratoren zur Fernverwaltung des Computer-Bestands eingesetzt. „Wenn sie missbraucht wird, hat diese Software die gleichen Fähigkeiten wie ein ,Remote Access Trojaner’ (RAT).“

In neueren Kampagnen werden laut Proofpoint kompromittierte E-Mail-Adressen genutzt, oder die Täter geben sich als Repräsentanten echter Unternehmen aus. „Die Absender haben für gewöhnlich Namen, die mit echten Personalvermittlern oder Unternehmensmitarbeitern in Verbindung gebracht werden.“ Der Inhalt solcher E-Mails beziehe sich auf Bewerbungen.

In betrügerischen E-Mails freie Stellen imitierter bzw. kompromittierter Unternehmen benannt

Security-Experten von Proofpoint konnten in den betrügerischen E-Mails „mehrere Stellen identifizieren, die von den imitierten bzw. kompromittierten Unternehmen tatsächlich ausgeschrieben wurden“.

• Proofpoint habe in mindestens einem Fall Beweise für ein gehacktes „LinkedIn“-Konto gefunden, über welches eine Stellenbeschreibung mit einer „Gmail“-Adresse veröffentlicht worden sei, „bei der eine kompromittierte Identität zum Einsatz kam“. Proofpoint habe diese E-Mail-Adresse in betrügerischen E-Mails beobachtet, „die an Personen geschickt wurden, die sich offenbar auf die Stelle beworben hatten“. Die Person, deren Identität betroffen gewesen sei, habe aber den Hacker-Angriff erkannt – „bevor Proofpoint ihn identifizieren konnte“ – und den betrügerischen Beitrag entfernt.

Cyberkriminelle könnten sich Listen potenzieller Ziele auf verschiedene Weise beschaffen: „So erstellen sie gefälschte Stellenausschreibungen, um E-Mail-Adressen zu sammeln, kompromittieren Posteingänge oder Soziale Medien von Personalverantwortlichen oder nutzen eine Liste zuvor gestohlener E-Mail-Adressen.“

Cyberkriminelle E-Mail-Kampagnen verbreiten „Tools“ für RMM oder „Remote Access Software“

Diese Aktivitäten seien Teil einer breiteren Palette von E-Mail-Kampagnen, welche „Tools“ für RMM oder „Remote Access Software“ (RAS) verbreiteten. Proofpoint habe E-Mails beobachten können, „die sich als US-Behörden, Einladungen zu Partys, Finanzinstitute und vieles mehr ausgaben“.

• RMM-/RAS-Tools seien als initiale „Payload“ sehr beliebt geworden. Anstatt RATs oder sogenannte Infostealer zu versenden, verwendeten Angreifer RMMs, da diese im legitimen Datenverkehr weniger auffielen. So könnten sie Geld oder Informationen stehlen bzw. weitere Malware installieren.

Arbeitssuchenden wird nun von Proofpoint geraten, „besonders auf die Namen und Absenderdomains der Personen zu achten, die mit ihnen in Kontakt treten, da diese Identitäten gefälscht sein könnten“. Abschließend die dringende Warnung: „Wenn Sie eine ausführbare Datei erhalten oder auf eine URL klicken sollen, die zu einer solchen führt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch!“

Weitere Informationen zum Thema:

X, proofpoint, 24.07.2025
Threat Insight: Job seekers, watch out!

proofpoint, Ole Villadsen & Selena Larson & The Proofpoint Threat Research Team, 07.03.2025
Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

datensicherheit.de, 06.08.2021
Schwachstellen in Cisco VPN-Routern: Patchen oder Remote-Management-Funktion deaktivieren / Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 23.07.2025] Ein aktueller Beitrag im „Threat Blog“ von Proofpoint beschreibt eine neue, besonders raffinierte Betrugsmasche, welche demnach derzeit für erhebliche Schäden in Unternehmen unterschiedlichster Branchen sorgt: Bei der beobachteten Angriffswelle würden Cyberkriminelle mit täuschend echten Angebotsanfragen (Request for Quote / RFQ) und dem Missbrauch von Lieferantenkrediten gezielt hochwertige Waren stehlen.

Zahlungsziel „Net 15/30/45“: Rechnungsbetrag erst nach 15, 30 bzw. 45 Tagen fällig

Die Vorgehensweise sei ebenso einfach wie perfide: „Mithilfe gestohlener bzw. öffentlich zugänglicher Unternehmensinformationen geben sich die Täter als seriöse Einkäufer aus und bitten um Angebote für spezielle Produkte.“

• Dabei setzten sie ein auf den ersten Blick harmloses Mittel ein – das Zahlungsziel „Net 15/30/45“. Dabei handele es sich um eine im Geschäftsalltag übliche Vereinbarung, bei der die bestellte Ware zunächst geliefert wird und der Rechnungsbetrag erst nach 15, 30 oder 45 Tagen fällig werde.

Genau dieses Zahlungsziel ermögliche es nun den Betrügern, die Waren zu erhalten, ohne eine Zahlung leisten zu müssen.

Betrüger tarnen sich gerne als Händler, Universitäten oder Behörden, um Waren-Auswahl und Zahlungsziel plausibel zu machen

„Was diese Angriffe so gefährlich macht, ist die hohe Professionalität, mit der die Täter agieren.“ Sie nutzten nicht nur frei verfügbare Informationen über Unternehmen, sondern gingen auch äußerst geschickt bei der Erstellung ihrer Anfragen vor.

• „Von detailreichen Produktlisten bis hin zu überzeugenden E-Mail-Signaturen und gefälschten Domains wird alles eingesetzt, um die Illusion einer legitimen Geschäftsbeziehung zu erzeugen. Besonders häufig geben sich die Betrüger als Händler, Universitäten oder Behörden aus, weil dort teure und schwer erhältliche Geräte benötigt werden.“

Die Palette der angeforderten Waren reiche von Festplatten und Netzwerkhardware bis zu medizinischen Geräten wie Defibrillatoren oder Sauerstoffgeräten – allesamt Produkte, welche sich auf dem internationalen Schwarzmarkt schnell weiterverkaufen ließen.

Cyberkriminellen greifen auf ausgeklügeltes Netzwerk zurück, um Waren möglichst spurlos verschwinden zu lassen

Doch damit nicht genug: Nach der erfolgreichen Anbahnung der Lieferung – und faktischen Bewilligung eines Kredits – griffen die Kriminellen auf ein ausgeklügeltes Netzwerk zurück, um die Ware möglichst spurlos verschwinden zu lassen.

• Dazu zählten Frachtweiterleitungsdienste, die häufig nach Westafrika lieferten, gemietete Lagerhallen in den USA sowie „Mules“, also Zwischenhändler oder ahnungslose Helfer, die unter Umständen gar nicht wüssten, „dass sie Teil eines Betrugs sind“.

Der eigentliche Schaden bleibe oft lange unbemerkt, denn erst nach Ablauf der Zahlungsfrist werde dann klar, „dass keine Zahlung eingeht und die Ware längst außer Landes ist“.

Proofpoint-Kooperation mit Versandunternehmen konnte helfen, Waren-Lieferungen noch rechtzeitig zu stoppen

Proofpoint dokumentiert solche Angriffe und bietet Hilfe bei ihrer Bekämpfung an. „Durch die enge Zusammenarbeit mit Domain-Registraren konnten bereits zahlreiche betrügerische Webseiten abgeschaltet werden.“ In den meisten Fällen hätten die Täter daraufhin den Kontakt abgebrochen, in anderen seien sie rasch mit neuen Domains wieder aufgetaucht.

• Auch die Kooperation mit Versandunternehmen habe dazu geführt, „dass mehrere betrügerische Lieferungen gestoppt werden konnten, bevor die Waren endgültig verloren waren“.

Für Unternehmen stelle diese Entwicklung eine erhebliche Herausforderung dar. Herkömmliche Schutzmechanismen reichten oft nicht aus, weil die Angriffe auf persönlicher Ebene ansetzten und sehr detailliert vorbereitet würden. Umso wichtiger sei es, Mitarbeiter für diese Gefahr zu sensibilisieren und die internen Prozesse rund um die Kreditvergabe und Kundenprüfung zu optimieren. „Ein gesundes Maß an Skepsis gegenüber ungewöhnlichen Anfragen – insbesondere, wenn diese mit Dringlichkeit und der Bitte um ein weit entferntes Zahlungsziel einhergehen – kann im Ernstfall entscheidend sein!“

Weitere Informationen zum Thema:

proofpoint, Tim Kromphardt & Hannah Rapetti, 21.07.2025
NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

datensicherheit.de, 11.07.2025
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten / Fast die Hälfte der Befragten gibt an, im letzten Jahr Opfer eines Betrugs geworden zu sein

datensicherheit.de, 14.06.2025
Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen / „Instagram“-Imitationen stellen eine zunehmende Bedrohung dar, welche die Finanzen und den guten Ruf von Unternehmen ernsthaft gefährdet

datensicherheit.de, 04.06.2025
Betrugsblindheit europäischer Unternehmen: Trotz Angriffszunahme um 59 Prozent waltet Zuversicht / 74 Prozent der Unternehmen sind zuversichtlich, sich effektiv schützen zu können – obwohl nur 45 Prozent die Auswirkungen von Identitätsbetrug messen

[datensicherheit.de, 11.03.2010] Die Verbraucherzentrale Rheinland-Pfalz hat eine Warnung vor ungewollten Anrufen einer angeblichen „Verbraucherzentrale“ herausgegeben:
Die Anrufer würden sich als Mitarbeiter der Verbraucherzentrale ausgeben und versuchen, arglosen Menschen einen äußerst fragwürdigen Schutz vor „dubiosen Anrufen“ anzubieten. Der Preise für diesen fragwürdigen Service liege zwischen 39 und 68 Euro.
Aufgrund zahlreicher Anfragen von Betroffenen weist die Verbraucherzentrale ausdrücklich darauf hin, dass sie nie unaufgefordert und ohne entsprechendes Einverständnis telefonisch Kontakt mit Verbrauchern aufnehme und schon gar nicht telefonisch Verträge anbiete. Sie empfiehlt, am Telefon keine persönlichen Daten wie Telefonnummer oder gar Kontoverbindung preiszugeben und nicht an telefonischen Gewinnspielen teilzunehmen.

Weitere Informationen zum Thema:

verbraucherzentrale Rheinland-Pfalz, 10.03.2010
Verbraucherzentrale warnt vor unerbetenen Anrufen im Namen der „Verbraucherzentrale“ – keine persönlichen Daten preis geben