Vorsicht: E-Mails mit gefälschten Termineinladungen (Mai 2021)

Sicherheit (Pexels, allgemeine Nutzung)[English]In den Postfächern häufen sich die SPAM-Mails mit fingierten Termineinladungen von unbekannten Personen. Die Beschwerden über solche Fake-Einladungen häufen sich bei der Verbraucherzentrale Bremen. Das Ganze ist eine geschickte Art um Daten der Empfänger zu stehen und/oder zu missbrauchen. Nachdem mir erstmals eine solche Termineinladung  zuging, bereite ich es mal im Blog auf.


Anzeige

Hier ist ein Beispiel einer solchen fingierten Termineinladung, die mich aber sofort stutzen ließ. Weder war mir das Thema noch die Einladende bekannt. Der verkürzte bit.ly-Link roch gerade zu nach etwas unseriösem.

Spam mit Termineinladung
Spam-Termineinladung

In meinem Freemail-Postfach bei Web.de scheinen sich diese SPAM-Mails zu häufen, werden aber als SPAM aussortiert. Die Absender können sogar Bekannte oder Kollegen sein, deren Konten gehackt wurden. Das Ganze scheint inzwischen ziemliche Ausmaße angenommen zu haben, wie die Verbraucherzentrale Bremen kürzlich in einer Mitteilung warnte.

Verbraucherzentrale warnt vor der Masche

Der neueste E-Mail-Spam kommt harmlos und unverdächtig daher: Termineinladungen über das Microsoft E-Mailprogramm Outlook – bei mir habe ich die SPAM-Mail im Thunderbird erhalten – aber letztendlich ist das E-Mail-Programm egal. E-Mail Spam, im aktuellen Fall Kalender-Spam, ist sogenanntes Phishing mit dem Ziel sensible Daten wie Kreditkarteninformationen, Geburtsdaten und Anschriften zu „fischen". Diese Daten werden dann entweder verkauft oder direkt genutzt, um Konten leer zu räumen oder Waren auf den Namen des Betroffenen zu kaufen. Besonders begehrt sind E-Mail-Adressen, die nachweislich aktiv sind.


Anzeige

Um zu verifizieren, dass eine Adresse aktiv genutzt wird, haben sich die Spammer eine besonders perfide Methode ausgedacht: Spam per Termineinladung", erklärt Katja Nonnenkamp-Klüting von der Verbraucherzentrale Bremen. Die Methode ist nicht neu, es gibt sie schon seit einigen Jahren. In letzter Zeit haben derartige Spam-Einladungen und somit die Beschwerden in der Verbraucherzentrale stark zugenommen.

So erkennen Sie Betrug

Die Verbraucherzentrale hat einige Tipps zusammen gestellt, damit Nutzer nicht auf so etwas hereinfallen. Die erste Tipp: „Seien Sie skeptisch, wenn Sie den Absender der Mail nicht kennen.

Mit einem Mouseover (Drüberfahren mit dem Mauszeiger über den Link) wird die Zieladresse des Links angezeigt – ohne dass man den Link selbst anklicken muss. Das reicht oft, um einen Spamversuch aufzudecken", erklärt Katja Nonnenkamp-Klüting. Der Tipp hilft aber nicht, wenn ein Linkverkürzer, wie oben gezeigt, verwendet wird.

Kennen die Empfänger den Absender, schlägt die Verbraucherzentrale vor, bei diesem einfach anzurufen und nachzufragen, ob die Termineinladung echt ist. Oft werden E-Mail-Accounts gehackt und dann von dort mit dem Namen des gehackten Benutzers Spam versendet.

Vorsicht beim Löschen der Kalender-Spam-Nachricht

Der zweite Tipp für den sicheren Umgang mit dem Kalender-Spam lautet: Löschen Sie nicht nur die Nachricht aus dem Posteingang, sondern auch den Termin im Kalender selbst. Betroffene sollten nicht auf „Einladung ablehnen" klicken, sondern sie stattdessen löschen. Beim Löschen droht allerdings nochmal eine Falle, denn das E-Mail-Programm Outlook fragt automatisiert nach, ob der Empfänger dem Organisator antworten möchte. Hier ist es wichtig, „Nein" auszuwählen. „Ansonsten erhält der Spammer die Absage und hat damit genau die erhoffte Bestätigung, dass dieses Konto aktiv genutzt wird", so Katja Nonnenkamp-Klüting.

In manchen Fällen ist der Termin bereits in den Kalender eingetragen. Dann müssen Verbraucher beim Löschen zudem aufpassen, nicht versehentlich eine Bestätigung an den Absender – also den Betrüger – zu senden, so die Verbraucherzentrale.

Einstellungen in Outlook überprüfen

Der dritte Tipp, um das E-Mail-Programm Outlook sicherer zu machen, ist die folgenden Einstellungen in Outlook zu überprüfen:
Unter Datei/Optionen/E-Mail befindet sich eine Einstellung „Besprechungsanfragen und Antworten auf Besprechungsanfragen sowie Abstimmungen automatisch bearbeiten".

Sie ist standardmäßig aktiv, das bedeutet aber nur, dass beim Eingang einer Einladung automatisch ein Kalendereintrag angelegt wird, eine Antwort wird nicht gesendet. Nimmt man den Haken raus, muss man künftige Spam-Termine nicht mehr von Hand löschen.

Die Einstellung für die automatische Beantwortung von Besprechungsanfragen ist standardmäßig nicht konfiguriert. Wer hier jedoch Einstellungen für die automatische Verarbeitung vorgenommen hat, kann von Kalender-Spam heimgesucht werden. Diese Einstellung kann wieder deaktiviert werden.

So erkennen Sie Phishing

Phishingversuche werden immer geschickter. Doch es gibt einige Merkmale, die helfen Phishing zu erkennen:

  • Die Absender sind unbekannt.
  • Die Texte sind auf Englisch oder mit Rechtschreibfehlern versehen. Häufig fehlen die deutschen Umlaute ä, ö, ü oder es tauchen kyrillische Zeichen auf.
  • Betrüger bauen Zeitdruck auf wie: „Reagieren Sie in den nächsten zehn Minuten, sonst wird Ihr Konto geschlossen."
  • Banken oder auch Mobilfunkanbieter fragen keine Daten oder Passwörter ihrer Kunden:innen ab.
  • Seriöse Anbieter versenden unangekündigt keine Dateianhänge oder fordern ihre Kunden:innen auf, auf einen Link zu klicken.

Weitere Tipps, um Phishing zu erkennen, finden Verbraucherinnen auf unseren Internetseiten:
Merkmale einer Phishing-Mail
Kein Tag-ohne Betrug
So lesen Sie den Mailheader

Frag VirusTotal

Ich habe es bei obiger Termin-Phishing-Mail anders gehandhabt. Die Einstellung: Wer einen Termin will, sollte schon genau Ross und Reiter nennen, löscht das Zeugs, hätte schon geholfen. Mir kam sofort das Thema aus dem Gedächtnis hoch, hatte ich doch kürzlich den Artikel der Kollegen gesehen. Also habe ich die Bit.ly-Adresse auf VirusTotal hochgeladen und bekam folgende Rückmeldung.

Damit war wohl alles klar und ich habe die "Termineinladung" gelöscht – sogerne ich auch mit Nana konferiert hätte ;-).


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Vorsicht: E-Mails mit gefälschten Termineinladungen (Mai 2021)

  1. Tim sagt:

    Ist schon ein bisi erschreckend, das solche Nummern funktionieren und man immer wieder warnen muss.

    Aber in Zeiten von 5000 Facebook/Instagram und Co "Freunden" verliert so mancher wohl leicht die Übersicht, oder meint unglaublich beliebt zu sein.

  2. Egon G. sagt:

    Tipp am Rande: Das Ziel von bit.ly URLs kann man durch Anhängen eines +Zeichens sehen, ohne dass es aufgerufen wird.

  3. Hans sagt:

    Der Tipp …

    Unter Datei/Optionen/E-Mail befindet sich eine Einstellung „Besprechungsanfragen und Antworten auf Besprechungsanfragen sowie Abstimmungen automatisch bearbeiten".

    … ist leider in vielen Fällen, in denen Postfächer von einem OnPrem Exchange Server abgerufen werden nicht wirksam.

    Wer hat dazu einen schlauen Hinweis?

  4. icke sagt:

    Vielen Dank für diesen Beitrag! Besonders gut finde ich die Zusammenfassung, woran man Spam o.ä. erkennen kann. Ich habe mir erlaubt, das an diejenigen weiterzugeben, die mich häufig fragen "ich hab da 'ne komische Mail bekommen".
    Allerdings bin ich an dem Gender-Trenner ":" unangenehm hängen geblieben ("*" oder "I" hätte den Lesefluss allerdings gleichermaßen gestört). Richtig blöd wird es dort, wo nur "Verbraucherinnen" (also ohne ":") steht. Wer überall Diskriminierung wittert, wird wahrscheinlich sofort unruhig. Vielleicht gibt es sogar Leute, die glauben, dass damit ausschließliche verbrauchende Frauen (Menschen weiblichen Geschlechts?) gemeint sein könnten.

    • Günter Born sagt:

      Ich habe den Gender-Trenner im Zitat jetzt rausgenommen (war übersehen worden). Ich selbst habe vor einiger Zeit so was wie Verbraucher/innen verwendet – stellte aber fest, dass die Texte am Ende verhunzt werden, sprachlich verunstaltet und auch schlechter lesbar sind. Inzwischen habe ich das Gendern wieder weitgehend abgeschafft. Durchgegenderte Pressemitteilungen müssen schon von der Thematik sehr interessant sein, damit ich mir die Arbeit mache, das alles umzuformulieren.

  5. Psychodoc sagt:

    Letzte Woche rief mich in meiner Praxis an Mann mit ausländischem Akzent von einer Mobilfunknummer an. Er sei von DHL, habe eine Amazon-Sendung für mich, könne diese aber nicht zustellen (wobei er die korrekte Postanschrift nannte), ich solle ihm meine E-Mail-Adresse nennen, damit eine Zustellung möglich sei. Ich antwortete, dass ich nichts bei Amazon bestellt hätte und auch auf keine Sendung warten würde. Der Anrufer meinte, Amazon würde auch Verlosungen durchführen. Nun habe ich kein Interesse an solchen Verlosungen, auch wenn diese real wären und außerdem hat Amazon eine E-Mail-Adresse für die Kommunikation mit mir. Meine Praxis-E-Mail-Adresse findet man auch im Internet und für Amazon habe ich eine gesonderte E-Mail-Adresse. Natürlich sind alle Zugänge mit 2FA abgesichert. Ich antwortete dem hartnäckigen Anrufer "kein Interesse" und legte auf. Wenig später meldete sich ein Anruf einer Computerstimmer mit "DHL-Zustellung, drücken sie 1, …" und ich legte auf.
    Die Betrüger werden immer dreister.

  6. No sagt:

    Ist es möglich, die IP-Adresse des Einladenden auszulesen? Dann könnte sie bei SpamHouse geprüft weden.

    • Skywalker-11 sagt:

      Es ist eine ganz normale Mail, die die Kalendereinladung enthält. Entsprechend sollte auch auf dem Mail-Server der Betroffenen die Absender-IP festgestellt werden können.

    • mvo sagt:

      Zu welchem Ergebnis sollte das führen? Man kann selbstverständlich prüfen, ob die IP Adresse, von der verschickt wird, dem MX Eintrag der Domäne entspricht. Das muss aber der Mailserver des Empfängers prüfen, setzt also den Betrieb einer eigenen Domäne mit eigenem Mailserver voraus. In der Tat filtert man viel Müll damit vor Annahme der Mail aus. Allerdings kommt trotzdem noch so einiges durch und insbesondere in Fernost sind Mailserver häufig schlampig konfiguriert, so dass "echte" Mails aussortiert werden.

      • Niels sagt:

        Technisch sollte man allerdings den SPF Eintrag heranziehen, dieser kann muss jedoch nicht die MX Einträge referenzieren.

        Zum Thema IP, man kann nur die IP des sendenden Mailservers sehen, die bringt einem häufig wenig da gehackte Accounts etc auf legitimen Wegen versenden.

  7. mvo sagt:

    Das frustrierende daran ist, dass man seine Anwender wieder und wieder schulen und informieren aber trotzdem nicht vermeiden kann, dass einige wie die HoneyMonkeys alles anklicken, was im Postfach landet. Am besten nach dem Anklicken dann noch an die Kollegen weiterleiten. Schade, dass man keine Brainware-Updates ausrollen kann…

  8. chw9999 sagt:

    Hi, der Passus "Die Absender können sogar Bekannte oder Kollegen sein, deren Konten gehackt wurden" könnte doch auch weniger kritisch sein: "…deren Email-Adresse aus dem Teich gefischt und verwendet wurde"…? Ich bekomme immer wieder SPAM "von meiner Email aus" and mich selber, aber das sind teilweise nur Weiterleitungs-Emailadressen – davon senden kann keiner.
    Ausgeschlossen ist natürlich nicht, dass jemand nicht weiß, was von seinem Konto weggeht, aber vielfach ist die Verwendung der Emailadresse als Absender wohl einfacher…
    VG und noch einen schönen Vatertag!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.