Gefälschte Spam-Quarantäne-Benachrichtigungen

Angreifer senden Benachrichtigungen zu unter Quarantäne gestellten Spam-Mails, um die Anmeldedaten von Firmenposteingängen zu stehlen

Was tun Sie, wenn E-Mails in Ihrem Postfach eingehen, die Sie weder erwarten noch angefordert haben? Außer in dem Fall, dass Sie ein Spam-Analyst sind, werden Sie diese Art von Mails wahrscheinlich löschen. Merkwürdigerweise nutzen einige Betrüger genau diese Angewohnheit aus, um Mitarbeiter mit Benachrichtigungen zu angeblich unter Quarantäne gestellten Spammails auf eine Phishing-Website zu locken.

So funktioniert die Phishing-Masche

Internetverbrecher verlassen sich auf das mangelnde Wissen ihrer Adressaten über Antispam-Technologien und senden Mitarbeitern Benachrichtigungen zu E-Mails, die die Person angeblich erhalten, aber unter Quarantäne gestellt hat. Die Benachrichtigungen sehen in etwa so aus:

Gefälschte Benachrichtigung zu E-Mails, die angeblich unter Quarantäne stehen.

Gefälschte Benachrichtigung zu E-Mails, die angeblich unter Quarantäne stehen.

Die Wahl des Themas ist in der Regel irrelevant – der Angreifer kopiert einfach das Design von anderen Werbenachrichten, die unaufgefordert Artikel und Services anbieten. Der Nachricht werden außerdem Schaltflächen hinzugefügt, über die der Empfänger die Nachricht entweder behalten oder löschen kann. Es werden auch die Optionen angeboten, alle unter Quarantäne gestellten E-Mails auf einmal zu löschen oder zu den Postfach-Einstellungen zu gehen. Der Empfänger erhält sogar grafische Anleitungen:

Grafische Anleitungen, die von den Betrügern gesendet werden.

Grafische Anleitungen, die von den Betrügern gesendet werden.

Wo ist die Stolperfalle?

Die Stolperfallen sind natürlich die Schaltflächen. Jede dieser Schaltflächen führt zu einer gefälschten Anmeldeseite, die wie die Benutzeroberfläche eines Maildienstes aussieht.

Phishing-Website.

Phishing-Website.

Die Benachrichtigung „Sitzung abgelaufen“ soll den E-Mail-Empfänger dazu verleiten sich auf der Phishing-Website anzumelden, die speziell dafür eingerichtet wurde, um an die Anmeldedaten für die Posteingänge des Unternehmens zu kommen.

Warnhinweise

Der erste Hinweis, bei dem die Alarmglocken klingeln sollten, ist die Adresse des Absenders. Wäre es eine echte Benachrichtigung, würde sie vom Mailserver kommen – der logischerweise die gleiche Domain, wie Ihre E-Mail-Adresse hat und nicht, wie in diesem Fall, von einem unbekannten Unternehmen stammt.

Bevor Sie Schaltflächen in E-Mails anklicken, fahren Sie immer zuerst mit dem Mauszeiger darüber, um die Internetadresse des Hyperlinks zu sehen, damit Sie im Voraus wissen, auf welche Seite er führt. In diesem Fall haben alle Schaltflächen den gleichen Link und führen außerdem zu einer Website, die weder etwas mit der Domain des Empfängers, noch mit der ungarischen Domain des Absenders zu tun hat. Selbst die Schaltfläche, die angeblich eine HTTP-Anfrage zum Löschen aller unter Quarantäne gestellter Nachrichten enthält, führt zu dieser Seite. Auch auf der Anmeldeseite sollte die Internetadresse Misstrauen erwecken.

So vermeiden Sie Spam und Phishing

Mitarbeiter sollten über ein Basiswissen zu Phishing verfügen, um nicht auf diese Art von Betrugsmaschen hereinzufallen. Sie brauchen nicht lange zu suchen, denn direkt in unserer Wissensdatenbank für Kaspersky Automated Security Awareness Platform (ASAP) finden Sie Online-Schulungsprogramme und eine ganzheitliche Lösung zur Verbesserung des Sicherheitsbewusstseins.

Natürlich ist es besser von vornherein zu vermeiden, dass Mitarbeiter überhaupt gefährliche E-Mails mit Links zu Phishing-Websites erhalten. Das können Sie erreichen, indem Sie eine effektive Anti-Phishing-Lösung sowohl auf Mailserverebene als auch auf den Computern der Mitarbeiter verwenden.

Tipps