Erster Schritt ist die Anfrage nach einem Angebot per Email (dabei wird der Name eeiner realen Agentur als Absender benutzt - Rückfragen dort haben ergeben, dass mindestens schon drei Dienstleister die gefakte Mail im Namen der Agentur erhalten haben). Auffällig ist: Die Mails sind auf Englisch und stammen von einer Outlook.com-Adresse



Es sind noch keine infizierten Dokumente angehängt, sondern lediglich eine Antwort wird erbeten (offenbar um Vertrauen aufzubauen)



Auf die Antwort hin kommt kurz darauf eine zweite E-Mail mit klickbarem Bild, das auf eine Seite mit Passwort-Abfrage führt für den Download/Zugang zu weiteren Infos, offenbar um einen File Server zu imitieren



Die Untersuchung der Subdomain der Zielseite zeigt: Sie kommt von einem kostenlosen Hosting-Dienst



Offenbar will der Angreifer die Nachfrage nach einem Passwort provozieren, um dann den Empfänger zum Download der Schaddokumente zu animieren

Aufmerksam gemacht auf die Betrugsmasche hat iBusiness Thomas Kaiser , Geschäftsführer der SEO-Agentur Cyberpromote . Er rät Agenturen, ihre Sales-Team unbedingt darauf hinzuweisen und zu schulen."Gerade in diesen Corona Zeiten sind Angebotsanfragen eher seltener und werden daher mit Freude und mehr Unachtsamkeit bezüglich möglicher Risiken bearbeitet", sagt Kaiser, der das Vorgehen der Betrüger detailliert in seinem Cyberpromote-Agenturblog beschreibt.Die betrügerischen Angebote kamen per PDF - Agenturen sollten daher einen interaktive Elemente nicht unterstützenden PDF-Reader nutzen und das Ausführen von Skripten in den Standard-Einstellungen deaktivieren oder im Zweifelsfall den Interessenten anrufen. Außerdem rät Kaiser dazu folgende Dateianhänge in Mailprogramm zu blockieren: .doc;.docm;.xls;.xlsm;.xlsb;.ppt;.pptm;.dot;.dotm;.potm;.ppa;.ppam;.ppsm;.iso;.xla;.xlam;.xlt;.xltm;.vsd;.prj;.rtf;.js;.jse;.bat;.pif;.vbs;.lnk;.reg;.cmd;.scr;.com;.ps1;.psm1;.psd1.