Net RFQ Scam

Dabei setzen sie ein auf den ersten Blick harmloses Mittel ein: das Zahlungsziel „Net 15/30/45“. Dabei handelt es sich um eine im Geschäftsalltag übliche Vereinbarung, bei der die bestellte Ware zunächst geliefert wird und der Rechnungsbetrag erst nach 15, 30 oder 45 Tagen fällig ist. Genau dieses Zahlungsziel ermöglicht es den Betrügern, die Waren zu erhalten, ohne eine Zahlung leisten zu müssen.

Zu den von Proofpoint erkannten und gesperrten RFQ Scam Domains zählen beispielsweise novartispharmaceuticalscorp[.]com, novartispharmcorp[.]com und novartisphamcorp[.]com.

Was diese Angriffe so gefährlich macht, ist die hohe Professionalität, mit der die Täter agieren. Sie nutzen nicht nur frei verfügbare Informationen über Unternehmen, sondern gehen auch äußerst geschickt bei der Erstellung ihrer Anfragen vor. Von detailreichen Produktlisten bis hin zu überzeugenden E-Mail-Signaturen und gefälschten Domains wird alles eingesetzt, um die Illusion einer legitimen Geschäftsbeziehung zu erzeugen.

Besonders häufig geben sich die Betrüger als Händler, Universitäten oder Behörden aus, weil dort teure und schwer erhältliche Geräte benötigt werden. Die Palette der angeforderten Waren reicht von Festplatten und Netzwerkhardware bis zu medizinischen Geräten wie Defibrillatoren oder Sauerstoffgeräten – allesamt Produkte, die sich auf dem internationalen Schwarzmarkt schnell weiterverkaufen lassen.

Doch damit nicht genug: Nach der erfolgreichen Anbahnung der Lieferung – und faktischen Bewilligung eines Kredits – greifen die Kriminellen auf ein ausgeklügeltes Netzwerk zurück, um die Ware möglichst spurlos verschwinden zu lassen. Dazu zählen Frachtweiterleitungsdienste, die häufig nach Westafrika liefern, gemietete Lagerhallen in den USA sowie „Mules“, also Zwischenhändler oder ahnungslose Helfer, die unter Umständen gar nicht wissen, dass sie Teil eines Betrugs sind. Der eigentliche Schaden bleibt oft lange unbemerkt, denn erst nach Ablauf der Zahlungsfrist wird klar, dass keine Zahlung eingeht und die Ware längst außer Landes ist.

Proofpoint dokumentiert diese Angriffe und hilft bei ihrer Bekämpfung. Durch die enge Zusammenarbeit mit Domain-Registraren konnten bereits zahlreiche betrügerische Webseiten abgeschaltet werden. In den meisten Fällen brachen die Täter daraufhin den Kontakt ab, in anderen tauchten sie rasch mit neuen Domains wieder auf. Auch die Kooperation mit Versandunternehmen führte dazu, dass mehrere betrügerische Lieferungen gestoppt werden konnten, bevor die Waren endgültig verloren waren.

Für Unternehmen stellt diese Entwicklung eine erhebliche Herausforderung dar. Herkömmliche Schutzmechanismen reichen oft nicht aus, weil die Angriffe auf persönlicher Ebene ansetzen und sehr detailliert vorbereitet werden. Umso wichtiger ist es, Mitarbeitende für diese Gefahr zu sensibilisieren und die internen Prozesse rund um die Kreditvergabe und Kundenprüfung zu optimieren. Ein gesundes Maß an Skepsis gegenüber ungewöhnlichen Anfragen – insbesondere, wenn diese mit Dringlichkeit und der Bitte um ein weit entferntes Zahlungsziel einhergehen – kann im Ernstfall entscheidend sein.

So erkennen Sie eine gefälschte Online-Anfrage

Da diese Betrugsmasche immer weiter verbreitet ist, sollten Unternehmen folgende wichtige Merkmale beachten:

Seien Sie vorsichtig bei Online-Finanzierungsanfragen, die ein erhöhtes Gefühl der Dringlichkeit vermitteln.

Überprüfen Sie immer die Lieferadresse. Handelt es sich um eine Speditionsadresse oder eine Privatadresse, seien Sie vorsichtig und suchen Sie nach alternativen Methoden, um die Identität und Authentizität der Person, mit der Sie kommunizieren, zu überprüfen.

Überprüfen Sie immer die E-Mail-Adresse und den Domainnamen des genannten Unternehmens. Suchen Sie online nach dem Namen des Unternehmens: Stimmt die Domain mit der Absenderdomain überein, ist die E-Mail legitim? Ein Anruf bei dem Unternehmen unter der auf der legitimen Unternehmenswebsite angegebenen Telefonnummer kann helfen, die Echtheit zu überprüfen oder festzustellen, ob es sich um einen Betrug handelt.

Seien Sie vorsichtig bei kostenlosen E-Mail-Konten, die vorgeben, von einem etablierten Unternehmen oder einer Institution zu stammen. Dies sollte sofort Ihre Alarmglocken läuten lassen.

They use a seemingly harmless method: the payment term „Net 15/30/45.“ This is a common business practice where the goods are delivered first and the invoice amount is due after 15, 30, or 45 days. However, it is precisely this payment term that enables fraudsters to receive the goods without making a payment.

Proofpoint has detected and blocked RFQ scam domains such as novartispharmaceuticalscorp[.]com, novartispharmcorp[.]com, and novartisphamcorp[.]com.

These attacks are dangerous because the perpetrators operate with a high level of professionalism. They use freely available information about companies and take a highly skilled approach to creating their requests. From detailed product lists to convincing email signatures and fake domains, they use everything to create the illusion of a legitimate business relationship.

Fraudsters often pose as retailers, universities, or government agencies because these organizations require expensive, hard-to-obtain equipment. The requested goods range from hard drives and network hardware to medical devices, such as defibrillators and oxygen equipment—all products that can be quickly resold on the international black market.

But that’s not all. Once the delivery has been arranged and the loan granted, the criminals use a sophisticated network to make the goods disappear without a trace. This network includes freight forwarding services that often deliver to West Africa, rented warehouses in the U.S., and „mules,“ or middlemen and unsuspecting helpers who may not even know they are part of a scam. The actual damage often goes unnoticed for a long time because it is only after the payment deadline passes that it becomes clear that no payment has been received, and the goods are long gone.

Proofpoint documents these attacks and helps combat them. Through close cooperation with domain registrars, numerous fraudulent websites have already been shut down. In most cases, the perpetrators broke off contact. In others, they quickly reappeared with new domains. Cooperation with shipping companies has also led to the prevention of several fraudulent deliveries before the goods were lost permanently.

This development poses a considerable challenge for companies. Conventional protection mechanisms are often insufficient because the attacks are personalized and meticulously planned. Therefore, it is crucial to raise employee awareness of this danger and optimize internal processes related to credit granting and customer verification. A healthy dose of skepticism toward unusual requests, especially those accompanied by urgency and a distant payment deadline, can be crucial in an emergency.

Ways to spot a Net RFQ

As this scam continues to proliferate, there are key characteristics that organization should keep in mind:

Be wary of Net financing requests that impress a heightened sense of urgency.

Always check the delivery address. If it is a freight forward service or residential address proceed with caution and find alternative methods to validate the identity and authenticity of the individual you’re communicating with.

Always verify the email address and domain name of the company referenced. Search the company name online; does the domain match the sender domain, is the email legitimate? Phoning the business directly from a phone number listed on the legitimate business website can help validate whether something is authentic, or if it’s a scam.

Be wary of free mail accounts purporting to be a representative from an established company or institution. This should set off immediate red flags.