Phishing zu Energiepreis "Pauschalbetrag" über 300 Euro (Sept. 2022)

Die hohen Energiekosten treiben viele Verbraucher und Verbraucherinnen um. Von der Politik wird ja eine Entlastung durch Pauschalbeträge avisiert. Dies machen sich auch Cyberkriminelle zunutze und verschicken Phishing-Mails, die die Adressaten zur Herausgabe persönlicher Daten verleiten sollen. Solche Mails sollte man jedoch direkt löschen.

Die Phishing-Mail

Blog-Leser Jens H. hat mir eine solche Mail zukommen lassen (danke dafür), die ich hier im Blog zur Information einstelle. Vielleicht merkt dann der eine oder andere aus der Leserschaft, wenn so etwas per Mail hereinkommt oder kann bereits den Spam-Filter in der Firma entsprechend trainieren. Hier der Screenshot dieser Mail:

Phishing-Mail

Ich habe mal die Stellen, die mir sofort ins Auge gesprungen sind, mit roten Pfeilen markiert. Hier der Original-Text dieser Mail:

Am 8. Sept. 2022, um 15:34, Sparkasse <caaa13[@]t-online.de> schrieb:

Sehr geehrte Damen und Herren,

um die Auswirkungen der gestiegenen Energiepreise für die Verbraucher abzumildern, wird im September ein Pauschalbetrag von 300 Euro an alle Erwerbstätigen ausbezahlt. Dies ist ein Beschluss der Bundesregierung und Inhalt des Entlastungspakets 2022, welches die durch den Ukraine-Krieg entstandene Energiekosten-Explosion etwas abfedern soll.

Wer erhält die Energiepauschale?

• Steuerpflichtige mit Einkünften aus Gewinneinkunftsarten (§ 13, § 15 oder § 18 des Einkommensteuergesetzes) und
• Arbeitnehmerinnen und Arbeitnehmer, die Arbeitslohn aus einem gegenwärtigen Dienstverhältnis beziehen und in die Steuerklassen I bis V eingereiht sind oder als geringfügig Beschäftigte pauschal besteuert werden.

Um Ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegeben Daten bei der Erstellung Ihres Girokontos in einer unserer Filialen.

Geben Sie noch heute Ihre aktuellen Daten auf unserer Homapege an und erhalten Sie innerhalb der nächsten vier Wochen Ihre Auszahlung der Energiepauschale. Dies können Sie ganz bequem von zu Hause aus erledigen, anbei finden Sie einen Direktlink zu den geforderten Angaben.

Vielen Dank für Ihre Zusammenarbeit!

Zur Homepage [Phishing-Link *ttp://homesecops.de/grillen.php

Mit freundlichen Grüßen

Ihre Kundenberatung!

Bezüglich der in obigem Screenshot gemachten Anmerkungen noch folgendes. Im Thunderbird wurde mir bei der weitergeleiteten Mail der Absender angezeigt – soll die Sparkasse sein, die aber eine ganz komische Mail-Adresse verwendete. Hier sollten schon die Alarmglocken klingeln. Dann gibt es einige Schreibfehler, die einer Sparkasse auch nicht unterlaufen sollten.

Kleine Analyse

Das Ziel der Phishing Mail ist es, Zugangsdaten für ein Bankkonto abzugreifen. Die unter "Zur Homepage" verlinkte Phishing-Seite liegt auf *ttp://homesecops.de/grillen.php. Eine http-Adresse, um Zugangsdaten einzutippen, geht ja mal gar nicht – und eine Bank dürfte inzwischen eine verschlüsselte https-Verbindung zu ihrer Banking-Seite anbieten. Ich habe dann die angegebene URL auf virustotal.com überprüfen lassen und folgendes Ergebnis erhalten:

War natürlich etwas erschütternd, dass kein "security vendor" diese URL als schädlich markiert hat. Immerhin meldet Abusix die Seite als Spam. Aber man sollte sich klar sein, dass virustotal.com keinen Persil-Schein ausstellen kann. Die Phishing-URL ist noch so frisch, dass die Sicherheitsanbieter dort noch nichts listen. Ich habe daher versuchsweise nur die Haupt-Domain *ttp://homesecops.de prüfen lassen und bekam folgendes Ergebnis.

Das sieht schon mal deutlich differenzierter aus – die Domain wird bereits von drei Sicherheitsanbietern als Phishing-Ziel und als schädlich ausgewiesen. Dazu gehört auch Google Safebrowsing. Die URL *ttp://homesecops.de und auch die Adresse *ttp://homesecops.de/grillen.php liefert beim direkten Aufruf (solltet ihr nicht machen) einen Server-Error 503 (Service Temporarily Unavailable). Die Phishing-Funktionen sind also bereits abgeschaltet – ob der Server-Betreiber was gemerkt hat, weiß ich nicht.

Im Blog-Beitrag Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor? hatte ich ja skizziert, wie man eine kompromittierte Webseite mit dem Sucuri Seit Check überprüfen kann.

Sucuri Site Check-Ergebnis

Eine Überprüfung der Ziel-Domain ergab, dass der Scan scheiterte (Fehler 503) und dass die Domain auf einer Black-Liste steht (siehe obiges Bild).

Eine Whois-Überprüfung ergab, dass die Domain zur NETCUP-AS netcup GmbH gehört. Das ist ein Anbieter virtueller Server und Hosting-Pakete. Akuell ist die Seite tot, "hier entsteht eine neue Webseite", heißt es. Wie die URL dann aber von Phishern genutzt werden kann, ist mir noch unklar – möglicherweise haben die den Server angemietet und sind dann aufgeflogen.

Vielleicht helfen die obigen Hinweise (ggf. bei einer eigenen Analyse) weiter.