Perfide Phishing-Mails drohen Website-Betreibern mit Markenrechtsverletzung
Aktuelle Phishing-Mails spielen mit der Angst von Website-Betreibern, von Abmahnwellen erfasst zu werden. Dazu werden Kontaktdaten aus dem Impressum genutzt.
(Bild: Sashkin/Shutterstock.com)
- Ronald Eikenberg
Wer eine Website betreibt, der kann schon mal von einer Abmahnwelle einer zwielichtigen Abmahnkanzlei erfasst werden. Cyber-Schurken spielen aktuell mit dieser Angst und verschicken perfide Phishing-Mails an Website-Betreiber, um Zugangsdaten abzugreifen. Wer eine solche Mail erhalten hat, sollte sie löschen und keinesfalls auf den darin enthaltenen Link klicken.
Die Phishing-Mails sind einer Benachrichtigungs-Mail des Filehosters WeTransfer nachempfunden. Demnach stehen unter einem Download-Link angeblich zwei Dateien zum Abruf bereit. Als Dateiname ist unter anderem "Markenrechtsverletzung Klage [domain].de.pdf" angegeben, [domain] entspricht dabei der tatsächlichen Domain des potenziellen Opfers. Auch in einem Beschreibungstext wird die Domain noch mal explizit genannt, um der Mail einen legitimen Anstrich zu verleihen: "Marken- und Produktpiraterie [domain].de".
Um den Druck zu erhöhen, behauptet der Absender, dass der Zugriff auf die Dateien noch am gleichen Tag abläuft. Der Betreff lautet in einem uns bekannten Fall "mitteilen.2091@marke-law.de hat Scans heruntergeladen- Läuft am 2. Mai ab" und der angebliche Absender "WeTransfer Hinweis 879 <informieren76273@wetransfer.co>".
Wer dem Link folgt, der landet auf einer gut gemachten Kopie der echten Login-Seite von WeTransfer in einwandfreiem Deutsch. Statt auf wetransfer.com wird die Phishing-Seite jedoch von wetransfer.kz ausgeliefert. Die Phishing-Seite fordert den Besucher auf, sich mit E-Mail-Adresse und Passwort einzuloggen, um auf die Dateien "Markenrechtsverletzung Klage.pdf" sowie "Abmahnung erhoben.pdf" zuzugreifen.
Phisher haben es aufs Mail-Konto abgesehen
Auch hier nutzen die Cyber-Schurken wieder einen Trick, um ihre Glaubwürdigkeit zu verstärken: Die Mail-Adresse des potenziellen Opfers wird über den Link in der Mail als URL-Parameter _app Base64-kodiert an die Phishing-Seite übergeben und ist bereits vorausgefüllt. Fällt man auf die Masche herein und tippt Zugangsdaten ein, erscheint eine Fehlermeldung, die unmissverständlich zeigt, worauf es die Täter abgesehen haben: "Benutzen Sie Ihr E-Mail-Passwort, um die Archive zu sehen!"
Nach drei Versuchen, in denen das Opfer im schlechtesten Fall drei unterschiedliche, echte Passwörter durchprobiert hat, leitet die Phishing-Seite schließlich auf eine legitime Fehlerseite von wetransfer.com um ("Datei nicht gefunden"). Danach funktioniert der Link in der Mail für diese Mail-Adresse nicht mehr und leitet ebenfalls auf wetransfer.com um. Eine nachträgliche Analyse des Vorfalls ist also kaum möglich.
Die Cyber-Schurken versuchen offensichtlich, die Kontrolle über den Mail-Account des Webmasters zu gewinnen und damit stehen ihnen meist alle Tore offen. Denkbar wäre, dass die Täter anschließend probieren, darüber die Kontrolle über den Webserver zu erlangen. Die genutzten Kontaktdaten des Webmasters stammen höchstwahrscheinlich aus dem Impressum der Website. Da dort auch Name und Postanschrift des Webmasters stehen, ist es vermutlich nur eine Frage der Zeit, bis auch diese Daten in Phishing-Mails auftauchen. (rei)