Neue Phishing-Welle mit gefälschten E-Mails

Momentan scheint es viele Phishing-Angriffe zu geben. Cyber-Banditen versuchen verstärkt, Daten von goneo-Kunden zu erbeuten. So verzeichnen wir eine erhöhte Anzahl an Kundenanfragen, die sich auf eingegangene E-Mails beziehen. Mails, die vorgeblich goneo hat, um auf ein (in Wahrheit nicht vorhandenes) Problem mit dem Kundenkonto hinzuweisen.

Dadurch sind wir darauf aufmerksam geworden, dass sehr viele E-Mail gleichlautenden Inhalts recht zielgerichtet an goneo-Kunden versendet wird.

Der Empfänger bzw. die Empfängerin wird aufgefordert, auf einen Link zu klicken.

Screenshot einer Phishing Mail
Beispiel einer typischen Phishing Mail. Einst konnte man Verdacht schöpfen, weil die Mail recht schlampig komponiert waren. Mittlerweile sind diese täuschen ähnlich. zu einer Originalmail.

Der Link führt auf eine Website, die einer echten goneo-Website nachempfunden ist. Die aktuelle Welle ist mit früheren Angriffen vergleichbar.

Der Link wird über einige Weiterleitungen und Verkürzer-Dienste auf folgende Zieladresse geschickt:


iemstracking.com/click.php?IE=w2ff6ep7uwlba4yv17nt&mailer={mailer}&client={client}

Dies ist auch wieder eine Weiterleitung und die URL der Zielseite ist in diesem Fall :

kundencenter.goneo.de.nablanews.it/sdhadgsakbdasdasdsada/log.html

Auf diesem offenbar kompromittierten Server unter einer italienischen Domain (nablanes.it). Bitte die Seite nicht aufrufen, wir haben den Betreiber um Blockierung gebeten. Zudem haben wir auch Kontakt mit der betreuenden Organisation der absendenden E-Mailadresse aufgenommen, um möglicherweise Hinweise auf die Täter zu bekommen. Sollten sich belastbare Hinweise ergeben, werden wir den Versuch auch anzeigen.

Wie kommen die Spamversender an die E-Mail-Adresse des Seitenbetreibers?

Nach unseren Recherchen gehen Spammer und Phisher so vor: In besonderen Bereichen des Internets, die für Kriminelle interessant sind, sind terabyteweise E-Mailadresse verfügbar. Als Krimineller besorgt man sich solche E-Mail-Listen. Jede E-Mail-Adresse besteht aus zwei Teilen. Für kriminelle Zwecke dieser Art ist der Teil nach dem „@“-Zeichen interessant, um herauszufinden, bei welchem Provider diese E-Mail-Adresse zuhause ist. Dies lässt sich recht einfach über die öffentlich verfügbaren Mailserverangaben herausfinden.

Findet mal also so heraus, dass eine E-Mail-Adresse bei goneo betrieben wird, kann man davon ausgehen, dass der Nutzer Kunde dort ist. Damit kennt er die Weboberflächen für Administration und Abrechnung, Logos und das Wording sowie das Look & Feel der Website.

Nun baut der Phisher die Eingabemaske, also die Login-Seite, z.B. für das Kundencenter nach. Gerne versuchen Kriminelle das auch mit Webmail-Login-Seiten gemacht.

Nun muss der Phisher noch versuchen, an die entsprechende E-Mail-Adresse eine nachempfundene E-Mail zu schicken, die beim Empfänger einen mehr oder weniger großen Schreck auslöst. Diese Mail muss täuschen, sie muss echt aussehen und plausibel wirken. Beliebte Inhalte und Coverstories sind hier, dass das Konto gesperrt ist. Nun müsse man sich ganz schnell anmelden, um ein irgendwie geartetes Problem wieder in Ordnung zu bringen.

Im Regelfall sind Userinnen und User nach so einer „Schreckensmail“ darauf erpicht, das Problem zu untersuchen und lassen Vorsichtmaßnahmen und Bedenken in den Hintergrund treten. Die Mechanismen lassen sich ein wenig mit dem allseits beliebten Enkeltrick oder dem mit den falschen Polizisten vergleichen. Ohne in der Situation zu sein, fällt es schwer sich vorzustellen, dass man so naiv sein kann und seine Zugangsdaten offenbart. In der kriminellen Praxis funktioniert dies aber sehr gut.

Ähnliche Phishing-Attacken auf Kunden erleben Sparkassen und Banken täglich. Hier versuchen Kriminelle, über die Webapps mit den Banking-Funktionen auf Girokonten zuzugreifen. Vor Phishing warnen Verbraucherschützer regelmäßig.

Tipps, um sich vor Phishing zu schützen

  • Wenn man sich dem Umstand, der in der Mail beschrieben ist, in keinster Weise bewusst ist, sollten Alarmglocken angehen.
  • Eventuell ist von einer Sperrung die Rede und Angelegenheit klingt furchtbar dringend ohne dass es vorher einen Hinweis gab. Auch das sollte Bedenken auslösen.
  • Der Absender der E-Mail ist irgendeine E-Mail-Adresse, die man nicht kennt. Um Spam-Mails erfolgreich und anonym zu versenden, müssen Cyber-Banditen einen kompromittierten Mailserver oder ein Postfach nutzen, für das sie sich Zugang erschlichen oder „erhackt“ haben. Einen Teil der Absenderangaben kann man beliebig fälschen, den sogenannten friendly-from-Eintrag. Der eigentliche Absender, d.h. die Mailadresse, wird aber in der Mail mitgeschickt. Wenn die echte Adresse und die Angabe der Adresse nicht übereinstimmen.
  • Irgendwann passiert es jedem und man gibt seine Zugangsdaten preis. Sobald man dies feststellt, sollte man sofort die Zugangsdaten ändern.
  • Der Schutz durch einen zweiten Faktor ist hilfreich. Auch das goneo-Kundencenter lässt sich so besser absichern.
  • Es lohnt sich durchaus, den Phishingversuch zu melden. Das bewahrt andere vor Schaden bewahrt und der Phisher ärgert sich ein wenig, weil seine Spamwelle etwas ineffizienter ist.

BSI warnt ebenfalls

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor Phishing und gibt zudem auch Hinweise, wie man Phishingversuche erkennen kann, insbesondere beschrieben anhand von Angriffen auf Bankkunden.

Ein wichtiger Schlüssel, um den Empfänger bzw. die Empfängerin einer E-Mail zu täuschen ist, den Absender der Mail zu fälschen. Leider gibt es viele Wege dies zu bewerkstelligen. Wer sich tiefer damit beschäftigen will, dem sei eine Präsentation (PDF) empfohlen, die während der Cybersicherheitskonferenz Blackhat com 2020 in den USA gezeigt worden ist. Jianjun Chen, Postdoc Researcher am International Computer Science Institute, Vern Paxson, Professor am UC Berkeley und Mitgründer von Corelight sowie Jian Jiang, Senior Director of Engineering bei Shape Security haben seinerzeit zehn große Mailservices und neunzehn Mailclients untersucht. Die Forscher haben achtzehn verschiedene Möglichkeiten gefunden, den wahren E-Mailabsender zu verbergen und dem User/der Userin einen anderen vorzugaukeln.

11 Antworten auf „Neue Phishing-Welle mit gefälschten E-Mails“

  1. Hallo,
    ich habe Ende letzter Woche zwei und heute bereits drei E-Mails bekommen.
    Zwei davon gingen an meine private (und nicht öffentliche) E-Mail-Adresse und drei an webmaster@…, welche bei Goneo nicht eingerichtet ist und nur auf meiner CatchAll-Adresse ankam.
    Absenderadressen sind:
    noreply@a.vowaballtapwcwsytelquchalbumas.com
    noreply@a.vomitavaxopir8xqk348botanisar.com
    noreply@a.volmi25rjhurgava.com
    Der angegebene Link ist immer identisch: https://cutt.ly/FFc8atM

    beste Grüße

  2. Diese Mails habe ich die letzten Tage schon öfter erhalten, aber heute morgen ist es besonders schlimm. Schon über ein Dutzend nur von heute…

  3. Da goneo diese Phishing E-Mails kennt, frage ich mich, warum es goneo nicht schafft, diese Phishing E-Mails zu eliminieren und einfach zu löschen. Zumindest im Spam Ordner müssten diese landen. Ich habe heute schon vier dieser Phishing E-Mails erhalten!

  4. Bei mir laufen gerade dutzende dieser Mails unter verschieden Empfängeradressen auf.
    Kann Goneo diese nicht blocken?

    Mit freundlichen Grüßen

  5. Diese Spam Mails werden von gehackten E-Mailkonten irgendwo in der Welt zu automatisch generierten und eventuell funktionierenden E-Mail-Adressen verschickt. Sie werden sicher auch nicht nur an E-Mail-Adressen bei goneo geschickt, sondern an Adressen bei vielen unterschiedlichen Providern. Ein Großteil geht ins Leere, ein kleiner Teil erreicht eine Inbox.

    Dass ein Logo von goneo eingebunden ist und kein anderes, ist damit zu erklären, dass vorher lange Listen von Domainnamen verwendet worden sind. Für jede Domain auf der Liste haben die Phisher vorher automatisiert angefragt, bei welchem Provider die Domain liegt, so dass man dann eine täuschende E-Mail mit passendem, „korrektem“ Logo herstellen und versenden kann.

    Dass der Link in der E-Mail zur einer Seite führt, die ausgerechnet einer Loginseite von goneo nachempfunden ist, hat den gleichen Grund.

    Da Mailboxnamen wie „info@“, „webmaster@“ oder „admin@“ recht üblich sind und oft verwendet werden, ergänzen die Phisher solche Namensbestandteile mit einem Domainnamen und schicken diese massenhaft von den gehackten Accounts los. Ein Teil dieser Spamwelle erreicht dann die eine oder andere Mailbox.

    Die Mails zu filtern gelingt uns, wenn wir einige ähnliche E-Mails erhalten.
    Sobald wir die URL der Phishing-Zielseiten kennen, auf die in der Phishingmail verlinkt wird, ersuchen wir den Betreiber oder Hoster dringend darum, die Seite zu blockieren. Dies gelingt je nach Provider, die im Regelfall im außereuropäischen Ausland beheimatet sind, mal schneller, mal weniger schnell. Zugleich melden wir dem Betreiber der absendenden E-Mail-Adresse bzw. dem Mailbetreiber den Missbrauch, so dass auch dieser tätig werden kann. Das weitere Vorgehen liegt leider nicht komplett in unserer Hand.

  6. Hallo, bei uns kommen heute, 11.04.2022, die Phishing-Nachrichten, die aussehen wie eine GONEO-Nachricht, im Minutentakt (!) an:
    Betreff:
    “ Wichtige Aktualisierung – 8674299876″ (Nummer ändert sich jedes Mal) und
    „Wichtiges Update in Ihrem Konto – [unsere E-Mailadresse]“,
    jedes mal mit dem Hinweis, dass das Konto vorübergehend gesperrt oder deaktiviert sei, mit der Aufforderung, einen Link zu folgen und die Kontodaten anzupassen…

    Uff…

  7. Durch die Warnung auf der Startseite im Kundencenter war ich vor den aktuellen Pishing-Angriffen gewarnt. Um 7:00 Uhr die Warnung gelesen und um 9:15 Uhr trudelten die ersten E-Mails ein. Wenn Pishingversuche gemeldet werden sollen, wäre eine einfache Möglichkeit (z.B. ein Webformular im Kundenbereich) hilfreich.

  8. Heute scheint eine neue Runde von Spam zu starten in denen der Text im erweiterten Unicode-Zeichensatz geschrieben wird um die Spamfilter zu überlisten.

  9. Wie erwartet kamen bei mir heute schon einige der neuen Spams an. Sie sind leicht daran zu erkennen, dass die Umlaute in einer anderen Schrift sind da es diese im Unicode nicht passend gibt.
    Bsp.:
    𝑾𝒊𝒓 𝒉𝒂𝒃𝒆𝒏 𝑰𝒉𝒓 𝑲𝒐𝒏𝒕𝒐 𝒂𝒖𝒔 𝑺𝒊𝒄𝒉𝒆𝒓𝒉𝒆𝒊𝒕𝒔𝒈𝒓ü𝒏𝒅𝒆𝒏 𝒗𝒐𝒓ü𝒃𝒆𝒓𝒈𝒆𝒉𝒆𝒏𝒅 𝒈𝒆𝒔𝒑𝒆𝒓𝒓𝒕.
    𝑾𝒊𝒓 𝒆𝒎𝒑𝒇𝒆𝒉𝒍𝒆𝒏 𝑰𝒉𝒏𝒆𝒏, 𝑰𝒉𝒓 𝑲𝒐𝒏𝒕𝒐 𝒛𝒖 𝒌𝒐𝒏𝒔𝒖𝒍𝒕𝒊𝒆𝒓𝒆𝒏, 𝒖𝒎 𝑰𝒉𝒓𝒆 𝑰𝒏𝒇𝒐𝒓𝒎𝒂𝒕𝒊𝒐𝒏𝒆𝒏 𝒛𝒖 ü𝒃𝒆𝒓𝒑𝒓ü𝒇𝒆𝒏, 𝒖𝒎 𝒏𝒊𝒄𝒉𝒕 𝒛𝒖 𝒓𝒊𝒔𝒌𝒊𝒆𝒓𝒆𝒏, 𝑰𝒉𝒓 𝑮𝒐𝒏𝒆𝒐-𝑲𝒐𝒏𝒕𝒐 𝒛𝒖 𝒔𝒑𝒆𝒓𝒓𝒆𝒏.

    𝑭𝒐𝒍𝒈𝒆𝒏 𝑺𝒊𝒆 𝒅𝒆𝒎 𝑳𝒊𝒏𝒌 𝒖𝒏𝒕𝒆𝒏, 𝒖𝒎 𝒅𝒆𝒏 𝑽𝒐𝒓𝒈𝒂𝒏𝒈 𝒂𝒃𝒛𝒖𝒔𝒄𝒉𝒍𝒊𝒆ß𝒆𝒏 𝒖𝒏𝒅 𝑰𝒉𝒓𝒆𝒏 𝑲𝒐𝒏𝒕𝒐𝒔𝒕𝒂𝒕𝒖𝒔 𝒂𝒏𝒛𝒖𝒑𝒂𝒔𝒔𝒆𝒏:

  10. Danke für diesen interessanten und zeitgemäßen Artikel über Phishing. Das Thema Cybersicherheit ist wirklich wichtig und in Zeiten der Digitalisierung ernstzunehmen. Ich finde diesen Artikel wirklich informativ und habe ihn mit Spannung gelesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.