Warnung vor Phishing-Kampagne: "FINANZMARKTAUFSICHT Aktenzeichen 520 Js 345/16" (19.10.2022)

Kurze Warnung, die sich vor allem an Administratoren in Firmen richtet, aber auch private Nutzer treffen kann. Betrüger haben eine neue Phishing-Kampagne gestartet, in der per Mail (datiert auf den 19. Oktober 2022) von einer angeblichen FMA Rechtsabteilung der Finanzmarktaufsicht Aufklärung im Fall einer Straftat erbeten wird. Bei einem Betrugsfall sei der Empfänger möglicherweise Geschädigte. Die Phishing-Mail, die mir ein Leser zukommen ließ, wird aktuell noch nicht von Virustotal als schädlich erkannt.

Es war eine private Mitteilung eines Blog-Lesers auf Facebook, die heute Nacht meine Aufmerksamkeit auf sich zog. Blog-Leser T.N. schrieb mir, dass er gerade eine frische Mail in seinem Postfach erhalten habe, die sich als gut gemachte deutschsprachige Phishing-Mail herausgestellt habe.

Zum Vergrößern klicken

Die Mail (siehe obigen Screenshot) hat nachfolgenden Inhalt, der sich erst einmal plausibel liest, wenn man davon absieht, dass die Anrede etwas merkwürdig gestaltet ist (Name doppelt in der Anrede, keine Geschlechtsbezeichnung etc.) und einige Schreibfehler vorhanden sind.

Sehr geehrte/r   T. N. T. N.,

Wir kontaktieren Sie im Zusammenhang mit einer Straftat. Ihre Persönlichen Daten wurden auf konfiszierten Festplatten von Betrügern entschlüsselt und möglicherweise sind Sie Geschädigter in einem Betrugsfall.

Aufgrund der hohen Anzahl von Geschädigten, gehen wir von einer Bandenkriminalität aus. Mit der Beschlagnahmung von Festplatten und der Verhaftung mehrerer Beteiligter durch die Osnabrücker Bundespolizei, würden wir Sie bitten uns in dem laufenden Verfahren zu unterstützen. Für eine erfolgreiche Verurteilung benötigen wir ihr mithilfe und vertiefende Informationen zu ihrem Fall.

Füllen Sie unser dafür angefertigtes Onlineformular aus oder kontaktieren Sie uns unter der unten stehen Telefonnummer persönlich.
Onlineformular: *ttp://c16w[dot]com/d76
Aktenzeichen: 520 Js 345/16 (Bitte stets angeben)
Artikel über die laufende Untersuchung: *http://c16w[dot]com/d77

FINANZMARKTAUFSICHT
Fasanenstraße 85 10623 Berlin,
Germany

Email: finanzaufsicht[AT]fmaufsicht.de
Tel.  Tel:     +49 30 80093202-2

Praktischerweise wird ein Online-Formular verlinkt, in der der "Geschädigte" nur noch seine Daten eintragen soll. Hier ist schon klar, dass es darum geht, Daten abzufischen. Da ich die Mail zugeschickt bekam, stelle ich nachfolgend noch den Quellcode des Headers, in dem ich persönliche Daten des Empfängers entfernt habe, ein.

Received: from mail.i6ny.com (vmi823455.contaboserver.net [194.163.174.16])
	by dd40506.kasserver.com (Postfix) with ESMTPS id DEF82BA80982
	for <t***@***.de>; Wed, 19 Oct 2022 16:47:50 +0200 (CEST)
From: "FMA RECHTSABTEILUNG" <promo@i6ny.com>
To: "T. N." <t***@***de>
Subject: Aktenzeichen 520 Js 345/16
Date: Wed, 19 Oct 2022 16:47:49 +0200
Message-ID: <gE0EgVkozPEtAARkTwPbIk1eCT2jyYjbp5RSPdGxs@i6ny.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0AF9_01D8E459.7BB60BA0"
X-Mailer: Microsoft Outlook 16.0
X-Spam-Checker-Version: SpamAssassin 3.4.4 (2020-01-24) on
	dd40506.kasserver.com
X-Original-To: t***@****.de
X-KasLoop: m04afd61
X-EsetId: 37303A29E45CC554677764
Authentication-Results: dd40506.kasserver.com;
	dkim=pass (4096-bit key; unprotected) header.d=i6ny.com header.i=@i6ny.com header.a=rsa-sha256 header.s=mail header.b=PqmnJJyd;
	dkim-atps=neutral
X-Spamd-Bar: --
X-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_IX_MANITU=-1.5 CL_IP_EQ_FROM_MX=-3.1; rate: -6.1
X-Dmarc-Test: Allow
Thread-Index: AQLv3LnzfDw8DYEc2B3W3FCx9B8y6g==

This is a multipart message in MIME format.

------=_NextPart_000_0AF9_01D8E459.7BB60BA0
Content-Type: text/plain;
	charset="utf-8"
Content-Transfer-Encoding: quoted-printable

=20

Die Nachricht gibt vor, von der Finanzmarktaufsicht zu sein und erbittet vom Empfänger Informationen zu einem Betrugsfall, wobei die Person als Geschädigter geführt werde. SpamCOP etc. erkennen die Mail noch nicht. Aber die Links werden Administratoren bereits auf die Phishing-Geschichte hinweisen.

Zum Vergrößern klicken

Ich habe die Ziel-URL auf Virustotal prüfen lassen. Dort wird die Seite von keinem der Scanner als bösartig erkannt (siehe obigen Screenshot.

Das Thema ist speziell in Österreich schon im Mai 2022 hochgekocht, wie man bei einer Internetsuche nach "finanzmarktaufsicht phishing erkennen kann. Denn in Österreich gibt es eine Finanzmarktaufsicht als Behörde – wobei obige Mail eine deutsche Adresse samt E-Mail-Adresse und Telefonnummer suggeriert. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) warnt mit diesem Artikel vom 22.6.2022 vor dem Betrug durch finanzmarktaufsicht[dot]net. Auch von der IHK Berlin gibt es eine Warnung.

Ähnliche Artikel:
Polizei/LKA-Niedersachsen warnt vor gefälschten Vorladungen per Mail
Phishing: Polizeiwarnung vor Amazon-Bestellbestätigungen
Polizei warnt vor neuen Erpresser-Mails (Feb. 2019)
Checkliste für Phishing-Opfer von BSI und Polizei bereitgestellt