{"id":23839,"date":"2020-04-28T16:27:46","date_gmt":"2020-04-28T14:27:46","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23839"},"modified":"2020-04-30T18:51:24","modified_gmt":"2020-04-30T16:51:24","slug":"covid-fake-delivery-service-spam-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/covid-fake-delivery-service-spam-phishing\/23839\/","title":{"rendered":"Lieferengp\u00e4sse in Corona-Zeiten \u2013 so vermeiden Sie Spam & Phishing"},"content":{"rendered":"

Einen Bereich menschlicher Aktivit\u00e4ten zu finden, der momentan nicht von der Coronavirus-Pandemie betroffen ist? So gut wie unm\u00f6glich! Auch Expresslieferdienste sind hier keine Ausnahme. Die Transportabl\u00e4ufe zwischen den L\u00e4ndern wurden gest\u00f6rt, und es mangelt zunehmend an Frachtflugzeugen, da Menschen und Unternehmen vermehrt Waren im In- und Ausland bestellen. Tats\u00e4chlich ist die Nachfrage nach bestimmten Artikeln extrem gestiegen.<\/p>\n

Diese gesteigerte Nachfrage f\u00fchrt zu deutlich l\u00e4ngeren Versandzeiten, weshalb sich Kunden mittlerweile daran gew\u00f6hnt haben, Entschuldigungsschreiben von Zustelldiensten zu erhalten, die auf den aktualisierten Versandstatus ihrer Bestellung hinweisen. K\u00fcrzlich sind wir eine Reihe von Fake-Websites und E-Mails auf die Schliche gekommen, die das Thema Coronavirus zu ihren Gunsten ausnutzen. Dabei verwenden Betr\u00fcger sowohl bew\u00e4hrte Tricks als auch neue Methoden.<\/p>\n

Spam mit sch\u00e4dlichen Anh\u00e4ngen<\/h2>\n

Spammer k\u00f6nnen sich als Mitarbeiter von Zustelldiensten ausgeben, um die Opfer davon zu \u00fcberzeugen, sch\u00e4dliche E-Mail-Anh\u00e4nge zu \u00f6ffnen. Der klassische Trick fordert den Empf\u00e4nger dazu auf, zun\u00e4chst die Informationen in einer angeh\u00e4ngten Datei zu lesen oder zu best\u00e4tigen, um ein eingehendes Paket zu erhalten.<\/p>\n

Eine gef\u00e4lschte Versandbenachrichtigungs-E-Mail in gebrochenem Englisch teilt dem Empf\u00e4nger beispielsweise mit, dass ein Paket aufgrund der Pandemie nicht zugestellt werden kann, und dieser es daher pers\u00f6nlich im Warendepot abholen muss.<\/p>\n

Die Depot-Adresse und andere Details befinden sich nat\u00fcrlich im Anhang. Wenn dieser ge\u00f6ffnet wird, wird eine Remcos-Backdoor auf dem Computer installiert. Cyberkriminelle k\u00f6nnen den PC dann dazu bringen, Teil eines Botnetzes zu werden. Zudem k\u00f6nnen Daten gestohlen oder andere Malware installiert werden.<\/p>\n

\"Falsche

Falsche Versandbenachrichtigungen<\/p><\/div>\n

Die Autoren einer weiteren gef\u00e4lschten Versandbenachrichtungs-E-Mail machen sich einen \u00e4hnlichen Trick zunutze, indem sie behaupten, dass das Unternehmen das Paket aufgrund eines Etikettierungsfehlers nicht zustellen konnte. Das Opfer wird gebeten, die Informationen im Anhang zu best\u00e4tigen, in dem sich allerdings ein weiteres Mitglied der Remcos-Familie versteckt h\u00e4lt.<\/p>\n

\"Die

Die Betr\u00fcger geben sich als Expressdienst aus, doch ihre Adresse verr\u00e4t sie<\/p><\/div>\n

Manchmal f\u00fcgen Spammer Bilder von Dokumenten in eine Nachricht ein, um dieser mehr Glaubw\u00fcrdigkeit zu verleihen. Im folgenden Beispiel haben Betr\u00fcger dem E-Mail-Text ein kleines Bild hinzugef\u00fcgt. Auf den ersten Blick schien es sich hierbei um eine Rechnung zu handeln. Das Bild war allerdings viel zu klein, um \u00fcberhaupt etwas erkennen zu k\u00f6nnen und konnte auch per Klick nicht vergr\u00f6ssert werden. Der Empf\u00e4nger wurde aufgefordert, den sch\u00e4dlichen Anhang, der scheinbar eine jpg-Datei enthielt, zu \u00f6ffnen.<\/p>\n

Wenn der E-Mail-Client des Empf\u00e4ngers die tats\u00e4chliche Dateierweiterung nicht anzeigt, kann der Anhang f\u00e4lschlicherweise f\u00fcr eine Bilddatei gehalten werden. Tats\u00e4chlich handelt es sich allerdings um ein ausf\u00fchrbares ACE-Archiv, das das Spyware-Programm Noon enth\u00e4lt.<\/p>\n

Um das Opfer unter Druck zu setzen, geben die Cyberkriminellen in ihrer E-Mail an, dass sie die fehlenden Informationen dringend ben\u00f6tigen, um das Paket noch vor einer m\u00f6glichen Ausgangssperre zustellen zu k\u00f6nnen.<\/p>\n

\"Die

Die Fake-E-Mail eines Zustelldienstes enth\u00e4lt ein Archiv mit doppelter Dateierweiterung<\/p><\/div>\n

Ein weiteres bei Kriminellen sehr beliebtes Thema aus der Kategorie \u201eE-Mail-Betrug\u201c, das nicht neu, aber aktuell besonders relevant ist, sind Versandverz\u00f6gerungen. Das Szenario ist sehr plausibel: Die Betr\u00fcger verweisen das Opfer auf einen Anhang, der den Bsymem-Trojaner enth\u00e4lt. Wird dieser ausgef\u00fchrt, k\u00f6nnen die Angreifer die Kontrolle \u00fcber das Ger\u00e4t \u00fcbernehmen und Daten entwenden. Am Ende der Nachricht findet der Nutzer eine Erkl\u00e4rung, dass die E-Mail von einer Sicherheitsl\u00f6sung gescannt wurde und keine sch\u00e4dlichen Dateien oder Links enth\u00e4lt. Diese Behauptung soll den Empf\u00e4nger in ein falsches Sicherheitsgef\u00fchl wiegen.<\/p>\n

\"Fake-Benachrichtigung

Fake-Benachrichtigung \u00fcber Versandverz\u00f6gerungen aufgrund des Coronavirus<\/p><\/div>\n

Viele Spammer f\u00fcgen einfach eine Erw\u00e4hnung des COVID-19 in ihre \u00fcblichen Mailing-Vorlagen ein, andere konzentrieren sich speziell auf die aktuelle Quarant\u00e4ne-Situation und die rasche Ausbreitung der Pandemie.<\/p>\n

In einer Mail hatte die Regierung angeblich den Import von Waren jeglicher Art in das Land verboten, sodass das Paket an den Absender zur\u00fcckgeschickt werden musste.<\/p>\n

\"Betr\u00fcger

Betr\u00fcger verbreiten das Ger\u00fccht, dass der Warenimport in bestimmten L\u00e4ndern eingeschr\u00e4nkt wurde<\/p><\/div>\n

Der Anhang enth\u00e4lt scheinbar eine Auftragsverfolgungsnummer, um einen erneuten Versand zu beantragen, nachdem die virusbedingten Gesundheitsbeschr\u00e4nkungen gelockert werden. Beim \u00d6ffnen der Datei wird jedoch die Androm-Backdoor installiert, die den Angreifern den Fernzugriff auf den Computer erm\u00f6glicht.<\/p>\n\n

Phishing<\/h3>\n

Auch Betr\u00fcger, die sich auf Phishing-Angriffe spezialisiert haben, nutzen das aktuelle Chaos der Versandbranche aus. Wir haben glaubw\u00fcrdige Kopien legitimer Websites sowie gef\u00e4lschte Tracking-Seiten entdeckt, die alle das Coronavirus erw\u00e4hnten.
\nPhisher, die beispielsweise die auf die Kundenkonten eines Versanddienstleisters abzielen, haben die offizielle Homepage des Unternehmens detailgetreu repiliziert und dann um die j\u00fcngsten Nachrichten rund um die Pandemie erweitert.<\/p>\n

\"Offizielle

Offizielle Website (rechts) und Phishing-Site (links), die der offiziellen Seite zum Verwechseln \u00e4hnlich sieht<\/p><\/div>\n

Nicht weniger detailgetreu ist der Klon einer weiteren Versanddienst-Website, auf der ebenfalls die neuesten Informationen bez\u00fcglich des Coronavirus erw\u00e4hnt werden.<\/p>\n

\"Phishing-Ressource

Phishing-Ressource eines weiteren Fake-Portals<\/p><\/div>\n

Die Autoren dieses Fake-Portals zur Versandverfolgung von Paketen haben COVID-19 zur Copyright-Zeile hinzugef\u00fcgt. Es gibt nur wenige andere Informationen auf der Seite: ein Formular zur Eingabe von Anmeldeinformationen und eine Liste der E-Mail-Dienste von \u201ePartnern\u201c. Wenn Sie hier Ihre Anmeldeinformationen eingeben, werden diese selbstverst\u00e4ndlich umgehend an die Betr\u00fcger weitergeleitet.<\/p>\n

\"Fake-Site

Fake-Site zur Versandverfolgung<\/p><\/div>\n

<\/div>\n

So fallen Sie nicht auf die Masche herein<\/h2>\n

Vor dem Hintergrund der Pandemie und der gro\u00dfen Anzahl echter Versandverz\u00f6gerungen, haben gef\u00e4lschte Websites und E-Mails gute Erfolgschancen \u2013 insbesondere dann, wenn Sie tats\u00e4chlich sehns\u00fcchtig auf ein Paket warten. So fallen Sie nicht auf Betr\u00fcger herein:<\/p>\n