Lieferengpässe in Corona-Zeiten – so vermeiden Sie Spam & Phishing

So nutzen Betrüger Lieferengpässe während der Pandemie aus.

Einen Bereich menschlicher Aktivitäten zu finden, der momentan nicht von der Coronavirus-Pandemie betroffen ist? So gut wie unmöglich! Auch Expresslieferdienste sind hier keine Ausnahme. Die Transportabläufe zwischen den Ländern wurden gestört, und es mangelt zunehmend an Frachtflugzeugen, da Menschen und Unternehmen vermehrt Waren im In- und Ausland bestellen. Tatsächlich ist die Nachfrage nach bestimmten Artikeln extrem gestiegen.

Diese gesteigerte Nachfrage führt zu deutlich längeren Versandzeiten, weshalb sich Kunden mittlerweile daran gewöhnt haben, Entschuldigungsschreiben von Zustelldiensten zu erhalten, die auf den aktualisierten Versandstatus ihrer Bestellung hinweisen. Kürzlich sind wir eine Reihe von Fake-Websites und E-Mails auf die Schliche gekommen, die das Thema Coronavirus zu ihren Gunsten ausnutzen. Dabei verwenden Betrüger sowohl bewährte Tricks als auch neue Methoden.

Spam mit schädlichen Anhängen

Spammer können sich als Mitarbeiter von Zustelldiensten ausgeben, um die Opfer davon zu überzeugen, schädliche E-Mail-Anhänge zu öffnen. Der klassische Trick fordert den Empfänger dazu auf, zunächst die Informationen in einer angehängten Datei zu lesen oder zu bestätigen, um ein eingehendes Paket zu erhalten.

Eine gefälschte Versandbenachrichtigungs-E-Mail in gebrochenem Englisch teilt dem Empfänger beispielsweise mit, dass ein Paket aufgrund der Pandemie nicht zugestellt werden kann, und dieser es daher persönlich im Warendepot abholen muss.

Die Depot-Adresse und andere Details befinden sich natürlich im Anhang. Wenn dieser geöffnet wird, wird eine Remcos-Backdoor auf dem Computer installiert. Cyberkriminelle können den PC dann dazu bringen, Teil eines Botnetzes zu werden. Zudem können Daten gestohlen oder andere Malware installiert werden.

Falsche Versandbenachrichtigungen

Falsche Versandbenachrichtigungen

Die Autoren einer weiteren gefälschten Versandbenachrichtungs-E-Mail machen sich einen ähnlichen Trick zunutze, indem sie behaupten, dass das Unternehmen das Paket aufgrund eines Etikettierungsfehlers nicht zustellen konnte. Das Opfer wird gebeten, die Informationen im Anhang zu bestätigen, in dem sich allerdings ein weiteres Mitglied der Remcos-Familie versteckt hält.

Die Betrüger geben sich als Expressdienst aus, doch ihre Adresse verrät sie

Die Betrüger geben sich als Expressdienst aus, doch ihre Adresse verrät sie

Manchmal fügen Spammer Bilder von Dokumenten in eine Nachricht ein, um dieser mehr Glaubwürdigkeit zu verleihen. Im folgenden Beispiel haben Betrüger dem E-Mail-Text ein kleines Bild hinzugefügt. Auf den ersten Blick schien es sich hierbei um eine Rechnung zu handeln. Das Bild war allerdings viel zu klein, um überhaupt etwas erkennen zu können und konnte auch per Klick nicht vergrössert werden. Der Empfänger wurde aufgefordert, den schädlichen Anhang, der scheinbar eine jpg-Datei enthielt, zu öffnen.

Wenn der E-Mail-Client des Empfängers die tatsächliche Dateierweiterung nicht anzeigt, kann der Anhang fälschlicherweise für eine Bilddatei gehalten werden. Tatsächlich handelt es sich allerdings um ein ausführbares ACE-Archiv, das das Spyware-Programm Noon enthält.

Um das Opfer unter Druck zu setzen, geben die Cyberkriminellen in ihrer E-Mail an, dass sie die fehlenden Informationen dringend benötigen, um das Paket noch vor einer möglichen Ausgangssperre zustellen zu können.

Die Fake-E-Mail eines Zustelldienstes enthält ein Archiv mit doppelter Dateierweiterung

Die Fake-E-Mail eines Zustelldienstes enthält ein Archiv mit doppelter Dateierweiterung

Ein weiteres bei Kriminellen sehr beliebtes Thema aus der Kategorie „E-Mail-Betrug“, das nicht neu, aber aktuell besonders relevant ist, sind Versandverzögerungen. Das Szenario ist sehr plausibel: Die Betrüger verweisen das Opfer auf einen Anhang, der den Bsymem-Trojaner enthält. Wird dieser ausgeführt, können die Angreifer die Kontrolle über das Gerät übernehmen und Daten entwenden. Am Ende der Nachricht findet der Nutzer eine Erklärung, dass die E-Mail von einer Sicherheitslösung gescannt wurde und keine schädlichen Dateien oder Links enthält. Diese Behauptung soll den Empfänger in ein falsches Sicherheitsgefühl wiegen.

Fake-Benachrichtigung über Versandverzögerungen aufgrund des Coronavirus

Fake-Benachrichtigung über Versandverzögerungen aufgrund des Coronavirus

Viele Spammer fügen einfach eine Erwähnung des COVID-19 in ihre üblichen Mailing-Vorlagen ein, andere konzentrieren sich speziell auf die aktuelle Quarantäne-Situation und die rasche Ausbreitung der Pandemie.

In einer Mail hatte die Regierung angeblich den Import von Waren jeglicher Art in das Land verboten, sodass das Paket an den Absender zurückgeschickt werden musste.

Betrüger verbreiten das Gerücht, dass der Warenimport in bestimmten Ländern eingeschränkt wurde

Betrüger verbreiten das Gerücht, dass der Warenimport in bestimmten Ländern eingeschränkt wurde

Der Anhang enthält scheinbar eine Auftragsverfolgungsnummer, um einen erneuten Versand zu beantragen, nachdem die virusbedingten Gesundheitsbeschränkungen gelockert werden. Beim Öffnen der Datei wird jedoch die Androm-Backdoor installiert, die den Angreifern den Fernzugriff auf den Computer ermöglicht.

Phishing

Auch Betrüger, die sich auf Phishing-Angriffe spezialisiert haben, nutzen das aktuelle Chaos der Versandbranche aus. Wir haben glaubwürdige Kopien legitimer Websites sowie gefälschte Tracking-Seiten entdeckt, die alle das Coronavirus erwähnten.
Phisher, die beispielsweise die auf die Kundenkonten eines Versanddienstleisters abzielen, haben die offizielle Homepage des Unternehmens detailgetreu repiliziert und dann um die jüngsten Nachrichten rund um die Pandemie erweitert.

Offizielle Website (rechts) und Phishing-Site (links), die der offiziellen Seite zum Verwechseln ähnlich sieht

Offizielle Website (rechts) und Phishing-Site (links), die der offiziellen Seite zum Verwechseln ähnlich sieht

Nicht weniger detailgetreu ist der Klon einer weiteren Versanddienst-Website, auf der ebenfalls die neuesten Informationen bezüglich des Coronavirus erwähnt werden.

Phishing-Ressource eines weiteren Fake-Portals

Phishing-Ressource eines weiteren Fake-Portals

Die Autoren dieses Fake-Portals zur Versandverfolgung von Paketen haben COVID-19 zur Copyright-Zeile hinzugefügt. Es gibt nur wenige andere Informationen auf der Seite: ein Formular zur Eingabe von Anmeldeinformationen und eine Liste der E-Mail-Dienste von „Partnern“. Wenn Sie hier Ihre Anmeldeinformationen eingeben, werden diese selbstverständlich umgehend an die Betrüger weitergeleitet.

Fake-Site zur Versandverfolgung

Fake-Site zur Versandverfolgung

So fallen Sie nicht auf die Masche herein

Vor dem Hintergrund der Pandemie und der großen Anzahl echter Versandverzögerungen, haben gefälschte Websites und E-Mails gute Erfolgschancen – insbesondere dann, wenn Sie tatsächlich sehnsüchtig auf ein Paket warten. So fallen Sie nicht auf Betrüger herein:

  • Nehmen Sie die E-Mail-Adresse des Absenders genau unter die Lupe. Stammt die Nachricht von einem kostenlosen E-Mail-Dienst oder enthält die Absenderadresse sinnlose Charaktere oder Zeichen, handelt es sich vermutlich um einen Fake. Denken Sie jedoch daran, dass auch authentische Absenderadressen gefälscht werden können.
  • Schenken Sie dem Nachrichtentext besondere Aufmerksamkeit. Ein grosses Unternehmen würde niemals eine fehlerhafte oder falsch formatierte E-Mail senden.
  • Öffnen Sie keine E-Mail-Anhänge von Versanddienstleistern. Vor allem dann nicht, wenn der Absender darauf beharrt. Stattdessen, melden Sie sich mit Ihrem persönlichen Konto auf der offiziellen Website des Dienstes an, um Ihre Tracking-Nummer einzusehen. Dasselbe sollten Sie tun, wenn Sie dazu aufgefordert werden, einen bestimmten Link zu öffnen.
  • Seien Sie besonders achtsam wenn Nachrichten nachdrücklich auf das Coronavirus verweisen. Cyberkrimnelle nutzen Themen wie diese aus, um die Aufmerksamkeit der Nutzer auf sich zu ziehen.
  • Installieren Sie eine zuverlässige Sicherheitslösung, die schädliche Anhänge erkennt und Phishing-Seiten blockiert.
Tipps