Perfide Phishing-Mails drohen Website-Betreibern mit Markenrechtsverletzung

Perfide Phishing-Mails drohen Website-Betreibern mit Markenrechtsverletzung

Wer eine Website betreibt, der kann schon mal von einer Abmahnwelle einer zwielichtigen Abmahnkanzlei erfasst werden. Cyber-Schurken spielen aktuell mit dieser Angst und verschicken perfide Phishing-Mails an Website-Betreiber, um Zugangsdaten abzugreifen. Wer eine solche Mail erhalten hat, sollte sie löschen und keinesfalls auf den darin enthaltenen Link klicken.

Die Mail stammt angeblich von dem Filehoster WeTransfer.

Die Phishing-Mails sind einer Benachrichtigungs-Mail des Filehosters WeTransfer nachempfunden. Demnach stehen unter einem Download-Link angeblich zwei Dateien zum Abruf bereit. Als Dateiname ist unter anderem „Markenrechtsverletzung Klage [domain].de.pdf“ angegeben, [domain] entspricht dabei der tatsächlichen Domain des potenziellen Opfers. Auch in einem Beschreibungstext wird die Domain noch mal explizit genannt, um der Mail einen legitimen Anstrich zu verleihen: „Marken- und Produktpiraterie [domain].de“.

Um den Druck zu erhöhen, behauptet der Absender, dass der Zugriff auf die Dateien noch am gleichen Tag abläuft. Der Betreff lautet in einem uns bekannten Fall „[email protected] hat Scans heruntergeladen- Läuft am 2. Mai ab“ und der angebliche Absender „WeTransfer Hinweis 879 <[email protected]>“.

Wer dem Link folgt, der landet auf einer gut gemachten Kopie der echten Login-Seite von WeTransfer in einwandfreiem Deutsch. Statt auf wetransfer.com wird die Phishing-Seite jedoch von wetransfer.kz ausgeliefert. Die Phishing-Seite fordert den Besucher auf, sich mit E-Mail-Adresse und Passwort einzuloggen, um auf die Dateien „Markenrechtsverletzung Klage.pdf“ sowie „Abmahnung erhoben.pdf“ zuzugreifen.

Auch hier nutzen die Cyber-Schurken wieder einen Trick, um ihre Glaubwürdigkeit zu verstärken: Die Mail-Adresse des potenziellen Opfers wird über den Link in der Mail als URL-Parameter _app Base64-kodiert an die Phishing-Seite übergeben und ist bereits vorausgefüllt. Fällt man auf die Masche herein und tippt Zugangsdaten ein, erscheint eine Fehlermeldung, die unmissverständlich zeigt, worauf es die Täter abgesehen haben: „Benutzen Sie Ihr E-Mail-Passwort, um die Archive zu sehen!“

Auch die Phishing-Seite ist WeTransfer nachempfunden.

Nach drei Versuchen, in denen das Opfer im schlechtesten Fall drei unterschiedliche, echte Passwörter durchprobiert hat, leitet die Phishing-Seite schließlich auf eine legitime Fehlerseite von wetransfer.com um („Datei nicht gefunden“). Danach funktioniert der Link in der Mail für diese Mail-Adresse nicht mehr und leitet ebenfalls auf wetransfer.com um. Eine nachträgliche Analyse des Vorfalls ist also kaum möglich.

Die Cyber-Schurken versuchen offensichtlich, die Kontrolle über den Mail-Account des Webmasters zu gewinnen und damit stehen ihnen meist alle Tore offen. Denkbar wäre, dass die Täter anschließend probieren, darüber die Kontrolle über den Webserver zu erlangen. Die genutzten Kontaktdaten des Webmasters stammen höchstwahrscheinlich aus dem Impressum der Website. Da dort auch Name und Postanschrift des Webmasters stehen, ist es vermutlich nur eine Frage der Zeit, bis auch diese Daten in Phishing-Mails auftauchen.


(rei)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert