Warnung vor Phishing-Kampagne: "FINANZMARKTAUFSICHT Aktenzeichen 520 Js 345/16" (19.10.2022)

Sicherheit (Pexels, allgemeine Nutzung)Kurze Warnung, die sich vor allem an Administratoren in Firmen richtet, aber auch private Nutzer treffen kann. Betrüger haben eine neue Phishing-Kampagne gestartet, in der per Mail (datiert auf den 19. Oktober 2022) von einer angeblichen FMA Rechtsabteilung der Finanzmarktaufsicht Aufklärung im Fall einer Straftat erbeten wird. Bei einem Betrugsfall sei der Empfänger möglicherweise Geschädigte. Die Phishing-Mail, die mir ein Leser zukommen ließ, wird aktuell noch nicht von Virustotal als schädlich erkannt.


Anzeige

Es war eine private Mitteilung eines Blog-Lesers auf Facebook, die heute Nacht meine Aufmerksamkeit auf sich zog. Blog-Leser T.N. schrieb mir, dass er gerade eine frische Mail in seinem Postfach erhalten habe, die sich als gut gemachte deutschsprachige Phishing-Mail herausgestellt habe.

Phishing-Mail: FMA Rechtsabteilung (Finanzmarktaufsicht)
Zum Vergrößern klicken

Die Mail (siehe obigen Screenshot) hat nachfolgenden Inhalt, der sich erst einmal plausibel liest, wenn man davon absieht, dass die Anrede etwas merkwürdig gestaltet ist (Name doppelt in der Anrede, keine Geschlechtsbezeichnung etc.) und einige Schreibfehler vorhanden sind.

Sehr geehrte/r   T. N. T. N.,

Wir kontaktieren Sie im Zusammenhang mit einer Straftat. Ihre Persönlichen Daten wurden auf konfiszierten Festplatten von Betrügern entschlüsselt und möglicherweise sind Sie Geschädigter in einem Betrugsfall.

Aufgrund der hohen Anzahl von Geschädigten, gehen wir von einer Bandenkriminalität aus. Mit der Beschlagnahmung von Festplatten und der Verhaftung mehrerer Beteiligter durch die Osnabrücker Bundespolizei, würden wir Sie bitten uns in dem laufenden Verfahren zu unterstützen. Für eine erfolgreiche Verurteilung benötigen wir ihr mithilfe und vertiefende Informationen zu ihrem Fall.

Füllen Sie unser dafür angefertigtes Onlineformular aus oder kontaktieren Sie uns unter der unten stehen Telefonnummer persönlich.
Onlineformular: *ttp://c16w[dot]com/d76
Aktenzeichen: 520 Js 345/16 (Bitte stets angeben)
Artikel über die laufende Untersuchung: *http://c16w[dot]com/d77

Logo

FINANZMARKTAUFSICHT
Fasanenstraße 85 10623 Berlin,
Germany

Email: finanzaufsicht[AT]fmaufsicht.de
Tel.  Tel:     +49 30 80093202-2

Praktischerweise wird ein Online-Formular verlinkt, in der der "Geschädigte" nur noch seine Daten eintragen soll. Hier ist schon klar, dass es darum geht, Daten abzufischen. Da ich die Mail zugeschickt bekam, stelle ich nachfolgend noch den Quellcode des Headers, in dem ich persönliche Daten des Empfängers entfernt habe, ein.

Received: from mail.i6ny.com (vmi823455.contaboserver.net [194.163.174.16])
	by dd40506.kasserver.com (Postfix) with ESMTPS id DEF82BA80982
	for <t***@***.de>; Wed, 19 Oct 2022 16:47:50 +0200 (CEST)
From: "FMA RECHTSABTEILUNG" <promo@i6ny.com>
To: "T. N." <t***@***de>
Subject: Aktenzeichen 520 Js 345/16
Date: Wed, 19 Oct 2022 16:47:49 +0200
Message-ID: <gE0EgVkozPEtAARkTwPbIk1eCT2jyYjbp5RSPdGxs@i6ny.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0AF9_01D8E459.7BB60BA0"
X-Mailer: Microsoft Outlook 16.0
X-Spam-Checker-Version: SpamAssassin 3.4.4 (2020-01-24) on
	dd40506.kasserver.com
X-Original-To: t***@****.de
X-KasLoop: m04afd61
X-EsetId: 37303A29E45CC554677764
Authentication-Results: dd40506.kasserver.com;
	dkim=pass (4096-bit key; unprotected) header.d=i6ny.com header.i=@i6ny.com header.a=rsa-sha256 header.s=mail header.b=PqmnJJyd;
	dkim-atps=neutral
X-Spamd-Bar: --
X-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_IX_MANITU=-1.5 CL_IP_EQ_FROM_MX=-3.1; rate: -6.1
X-Dmarc-Test: Allow
Thread-Index: AQLv3LnzfDw8DYEc2B3W3FCx9B8y6g==

This is a multipart message in MIME format.

------=_NextPart_000_0AF9_01D8E459.7BB60BA0
Content-Type: text/plain;
	charset="utf-8"
Content-Transfer-Encoding: quoted-printable

=20

Die Nachricht gibt vor, von der Finanzmarktaufsicht zu sein und erbittet vom Empfänger Informationen zu einem Betrugsfall, wobei die Person als Geschädigter geführt werde. SpamCOP etc. erkennen die Mail noch nicht. Aber die Links werden Administratoren bereits auf die Phishing-Geschichte hinweisen.

Virustotal-Ergebnis Phishing-Mail
Zum Vergrößern klicken

Ich habe die Ziel-URL auf Virustotal prüfen lassen. Dort wird die Seite von keinem der Scanner als bösartig erkannt (siehe obigen Screenshot.

Das Thema ist speziell in Österreich schon im Mai 2022 hochgekocht, wie man bei einer Internetsuche nach "finanzmarktaufsicht phishing erkennen kann. Denn in Österreich gibt es eine Finanzmarktaufsicht als Behörde – wobei obige Mail eine deutsche Adresse samt E-Mail-Adresse und Telefonnummer suggeriert. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) warnt mit diesem Artikel vom 22.6.2022 vor dem Betrug durch finanzmarktaufsicht[dot]net. Auch von der IHK Berlin gibt es eine Warnung.


Anzeige

Ähnliche Artikel:
Polizei/LKA-Niedersachsen warnt vor gefälschten Vorladungen per Mail
Phishing: Polizeiwarnung vor Amazon-Bestellbestätigungen
Polizei warnt vor neuen Erpresser-Mails (Feb. 2019)
Checkliste für Phishing-Opfer von BSI und Polizei bereitgestellt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Warnung vor Phishing-Kampagne: "FINANZMARKTAUFSICHT Aktenzeichen 520 Js 345/16" (19.10.2022)

  1. A. Nonym sagt:

    curl –user-agent 'possibe phishing' 'https://isc.sans.edu/api/domainage/i6ny.com?json'
    [{"domainname":"i6ny.com","firstseen":"2022-01-06","ip":0,"type":"does not resolve","updated":"2022-01-19 18:41:14"}]

    pi@raspberrypi:~ $ host -t any i6ny.com
    i6ny.com host information "RFC8482" ""
    pi@raspberrypi:~ $ host -t txt i6ny.com
    i6ny.com descriptive text "v=spf1 mx ~all"

    pi@raspberrypi:~ $ host -t a i6ny.com
    i6ny.com has address 172.67.176.152
    i6ny.com has address 104.21.83.130

    pi@raspberrypi:~ $ host -t mx i6ny.com
    i6ny.com mail is handled by 10 mail.i6ny.com.

    pi@raspberrypi:~ $ host -t ns i6ny.com
    i6ny.com name server ganz.ns.cloudflare.com.
    i6ny.com name server stella.ns.cloudflare.com.

  2. Thomas sagt:

    Die Finale URL ist doch
    h**ps://www.tagesschau.de/investigativ/br-recherche/bitcoin-betrug-101.html

    das sieht man auch unter Details in Virustotal

    • Günter Born sagt:

      Hm, man sollte möglichst nicht blind allen Links folgen. Der 1. Link führt auf die Phishing-Seite, der 2. Link auf den Tagesschau-Artikel. Virustotal findet auf der aufgelösten URL (fmaufsicht [_dot_]de) ebenfalls nichts. Die Finanzmarktaufsicht aus Österreich erreicht man unter http://www.fma.gv.at – die Berliner Seite ist ein Fake – an der Adresse sitzt die IHK, die vor der Masche warnt.

    • Anonymous sagt:

      Phishing Links leiten immer mal so und mal so weiter, je nach User Agent, Cookies, IP-Adressbereich, Zufall, usw.

  3. Anno Nym sagt:

    Was soll man machen wenn man seine Daten bereits angeben hat?

  4. Jochem sagt:

    Moin,
    seit wann hat Osnabrück eine eigene Bundespolizei?
    Da sollte man spätestens stutzig werden.
    Gruß J :-) chem

  5. kj070 sagt:

    Sorry,
    aber der Crosscheck E-Mailname und e-Mailadresse sollte hier schon alle Alarmglocken schrillen lassen – das passt ja überhaupt nicht und ist von jedem User auf das Einfachste durchzuführen (sieh Bild ganz am Anfang)
    Das Problem ist, dass nicht jeder Mailclient die original e-mail Adresse anzeigt.

    Das nächste wäre bei mir, der Linkcheck (nur mit der Maus über den Link fahren).
    Passt hier was nicht zusammen – no go.

  6. Thomas sagt:

    Ich habe heute so eine Mail bekommen und dachte mir so, was für eine Osnabrücker Bundespolizei.. Dann habe ich die Telefonnummer gegoogelt und kam auf diesen Beitrag.
    Nachfolgend den allseits bekannten Text…

    Sehr geehrte/r ……., …… ,

    wir kontaktieren Sie im Zusammenhang mit einer Straftat. Ihre Persönlichen Daten wurden auf konfiszierten Festplatten von Betrügern entschlüsselt. Möglicherweise sind Sie Geschädigter in einem Betrugsfall.

    Aufgrund der hohen Anzahl von Geschädigten, gehen wir von einer Bandenkriminalität aus. Mit der Beschlagnahmung von Festplatten und der Verhaftung mehrerer Beteiligter durch die Osnabrücker Bundespolizei, würden wir Sie bitten uns in dem laufenden Verfahren zu unterstützen.

    Für eine erfolgreiche Verurteilung benötigen wir ihr mithilfe und vertiefende Informationen zu ihrem Fall.

    Füllen Sie unser dafür angefertigtes Onlineformular aus oder kontaktieren Sie uns unter der unten stehen Telefonnummer persönlich.

    Onlineformular: Bitte füllen Sie das Online-Formular aus

    Aktenzeichen: 520 Js 345/16 (Bitte stets angeben)

    Artikel über die laufende Untersuchung:

    *ttp://skysr(dot)com/a1T

    FINANZMARKTAUFSICHT
    Fasanenstraße 85 10623 Berlin,
    Germany

    ✉ Email: finanzaufsicht(at)fmaufsicht.de
    ☏ Tel: +49 30 80093202-2

Schreibe einen Kommentar zu kj070 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.