{"id":28795,"date":"2022-06-07T22:33:58","date_gmt":"2022-06-07T20:33:58","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28795"},"modified":"2022-06-07T22:33:58","modified_gmt":"2022-06-07T20:33:58","slug":"wise-transferwise-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/wise-transferwise-phishing\/28795\/","title":{"rendered":"Phisher zielen auf Wise-Nutzer ab"},"content":{"rendered":"

H\u00e4ufig verschicken Angreifer Phishing-E-Mails im Namen bekannter Unternehmen, um Anmeldeinformationen f\u00fcr die pers\u00f6nlichen Konten, Telefonnummern und andere f\u00fcr Betrugsmaschen oder Konto\u00fcbernahmen n\u00fctzliche Nutzerinformationen zu entwenden. Zu den attraktivsten Zielobjekten f\u00fcr Phisher geh\u00f6ren Kunden von Finanzorganisationen wie Banken<\/a>, Kryptob\u00f6rsen<\/a>, Zahlungssystemen und dergleichen.<\/p>\n

Wir haben nun eine neue Phishingmethode entdeckt, die auf den Online-Finanzdienst Wise (ehemals TransferWise<\/em>) abzielt, der von Millionen von Nutzern Einsatz findet. In diesem Beitrag analysieren wir, wie genau die Masche funktioniert und geben Ihnen Tipps zum Vermeiden von Datendiebstahl.<\/p>\n

Das ist Wise<\/h2>\n

Warum gerade Wise? Unz\u00e4hlige Nutzer vertrauen dem Dienst, der bis vor kurzem noch unter dem Namen TransferWise bekannt war und sein Hauptgesch\u00e4ft auf kosteng\u00fcnstige Auslands\u00fcberweisungen konzentrierte, ihr Geld an. Im Jahr 2021 erweiterte das Unternehmen sein Leistungsangebot<\/a> um Multi-W\u00e4hrungskonten und Debitkarten (unter anderem).<\/p>\n

Im Rahmen eines Rebrandings \u00e4nderte Wise seinen Namen von ehemals TransferWise zu Wise. Eine anf\u00e4ngliche Verwirrung im Zusammenhang mit der Namens\u00e4nderung machten sich gewiefte Cyberkriminelle zunutze.<\/p>\n

So funktioniert die Phishing-Methode<\/h2>\n

Ein Angriff beginnt mit einer Phishing-E-Mail, die angeblich vom Supportteam des Unternehmens stammt. Die E-Mail informiert das Opfer dar\u00fcber, dass es aufgrund des Rebrandings \u201esein Konto auf die neue Plattform migrieren\u201c muss.<\/p>\n

\"Eine<\/a>

Eine angeblich von TransferWise stammende E-Mail, die den Nutzer zur Kontomigration auffordert<\/p><\/div>\n

Nutzer, die weniger aufmerksam sind, k\u00f6nnten die Nachricht leicht f\u00fcr echt halten, da wise.com in der Absenderadresse erscheint und der Text selbst das Firmenlogo mit der markenrechtlich gesch\u00fctzten blauen Flagge enth\u00e4lt. Ein genauerer Blick zeigt jedoch mehr rote als blaue Flaggen: Die Absenderadresse besteht aus einer zuf\u00e4lligen Zahlenfolge, kombiniert mit W\u00f6rtern, die rein gar nichts mit Wise zu tun haben. Dar\u00fcber hinaus geh\u00f6rt die Domain aus irgendeinem Grund der, Achtung, Moringa-Schule in Kenia<\/a>! Der Text selbst ist voller Grammatik- und Tippfehler, die ein seri\u00f6ses Unternehmen vermutlich nicht auf sich sitzen lassen w\u00fcrde.<\/p>\n

In der E-Mail tauchen zwei Links auf: Einer soll auf die neue Seite verweisen, der andere bei der Kontaktaufnahme mit den Absendern helfen. Tats\u00e4chlich f\u00fchren beide auf dieselbe Seite, die das Opfer automatisch auf eine andere Phishing-Website umleitet.<\/p>\n

Die Phishing-Seite sieht \u00fcberzeugender aus als die E-Mail: Sie zeigt die gleiche Willkommensnachricht sowie ein und dasselbe Design wie die authentische Wise-Website. Die einzigen Unterschiede sind das Bild links auf der Seite und die URL. Letztere zeigt unerwartet den Namen einer obskuren App<\/a> zum Auffinden von Restaurants und verg\u00fcnstigten Dienstleistungen an. An dieser Stelle fordern die Cyberkriminellen den Benutzer auf, seine E-Mail-Adresse und sein Passwort f\u00fcr die Kontoanmeldung einzugeben.<\/p>\n

\"Phishing-Version<\/a>

Phishing-Version der Anmeldeseite von Wise<\/p><\/div>\n

Dabei handelt es sich bei den Anmeldeinformationen nicht um die einzigen pers\u00f6nlichen Daten, die von den Kriminellen gesammelt werden: Nachdem die E-Mail und das Passwort \u201eakzeptiert\u201c wurden, fragt die Website nach der Telefonnummer des Opfers. \u00dcbrigens: auf der echten Wise-Seite wird bei der Anmeldung nicht nach Ihrer Telefonnummer gefragt.<\/p>\n

\"Abschliessend<\/a>

Abschliessend wird nach der Telefonnummer des Nutzer verlangt<\/p><\/div>\n

Wenn Nutzer auf die Schaltfl\u00e4che \u201eContinue\u201c klicken, friert die Seite pl\u00f6tzlich ein: w\u00e4hrend sich die Daten auf den Weg zu den Cyberkriminellen machen, bekommt das Opfer lediglich ein Logo mit der Unterschrift \u201eLoading\u201c zu Gesicht.<\/p>\n

\"The<\/a>

The phishing page lost in thought<\/p><\/div>\n

Ungeduldige Nutzer, die erneut auf die Schaltfl\u00e4che \u201eContinue\u201c klicken, werden dann auf die offizielle Website von Wise umgeleitet. Wenn Nutzer die URL an dieser Stelle auf ihre Authentizit\u00e4t pr\u00fcfen, merken sie nicht, dass ihre Daten in Wirklichkeit in die H\u00e4nde von Cyberkriminellen geraten sind, und haken vermutlich nicht weiter nach.<\/p>\n

\"Nutzer<\/a>

Nutzer werden an die offizielle Website von Wise weitergeleitet<\/p><\/div>\n

Was passiert mit den Daten?<\/h2>\n

H\u00f6chstwahrscheinlich sind es vor allem Telefonnummern, an denen Cyberkriminelle interessiert sind, um diese an Telefonbetr\u00fcger weiterzuverkaufen. Kompromittierte Konten geben ihnen Zugriff auf zus\u00e4tzliche Informationen<\/a> \u00fcber Nutzer, insbesondere Vorname, Nachname und Wohnadresse, mit dessen Hilfe Telefonbetr\u00fcger dann deutlich \u00fcberzeugender klingen k\u00f6nnen.<\/p>\n

So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n

Um Ihre Daten zu sch\u00fctzen, sollten Sie einige grundlegende Cybersicherheitsregeln<\/a> befolgen.<\/p>\n