Ein Textil-KMU erwartet 92.000 EUR von einem französischen Kunden. Tage vor Fälligkeit erhält der Kunde scheinbar vom italienischen CEO eine Mail mit aktualisiertem PDF und neuer IBAN 'wegen Bankwechsels'.
Die Zahlung geht auf britische IBAN einer Online-rekrutierten Mule. Die Täter hatten das Postfach commerciale ein Monat zuvor kompromittiert, Threads gelesen und den Moment gewählt. Sie nutzten Lookalike-Domain mit 'i' statt 'l'.
Mythos analysierte den Header: SPF fail, Domain 11 Tage zuvor registriert, Versand-IP auf asiatischem VPS. PDF-Analyse zeigte gleiche Vorlage wie Original, aber modifizierte Adobe-Metadaten. Dossier ermöglichte teilweisen SWIFT-Recall und Sperrung von 38 Prozent.