{"id":272707,"date":"2022-09-10T00:11:00","date_gmt":"2022-09-09T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272707"},"modified":"2022-09-09T16:31:49","modified_gmt":"2022-09-09T14:31:49","slug":"phishing-zu-hohen-energiepreisen-und-pauschalbetrag-ber-300-euro-sept-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/10\/phishing-zu-hohen-energiepreisen-und-pauschalbetrag-ber-300-euro-sept-2022\/","title":{"rendered":"Phishing zu Energiepreis &quot;Pauschalbetrag&quot; &uuml;ber 300 Euro (Sept. 2022)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Die hohen Energiekosten treiben viele Verbraucher und Verbraucherinnen um. Von der Politik wird ja eine Entlastung durch Pauschalbetr\u00e4ge avisiert. Dies machen sich auch Cyberkriminelle zunutze und verschicken Phishing-Mails, die die Adressaten zur Herausgabe pers\u00f6nlicher Daten verleiten sollen. Solche Mails sollte man jedoch direkt l\u00f6schen.<\/p>\n<p><!--more--><\/p>\n<h2>Die Phishing-Mail<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/7bbaf809ed4a40fc86e03001f4000608\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Jens H. hat mir eine solche Mail zukommen lassen (danke daf\u00fcr), die ich hier im Blog zur Information einstelle. Vielleicht merkt dann der eine oder andere aus der Leserschaft, wenn so etwas per Mail hereinkommt oder kann bereits den Spam-Filter in der Firma entsprechend trainieren. Hier der Screenshot dieser Mail:<\/p>\n<p><img decoding=\"async\" title=\"Phishing-Mail\" src=\"https:\/\/i.imgur.com\/HIHztBF.png\" alt=\"Phishing-Mail\" \/><br \/>\nPhishing-Mail<\/p>\n<p>Ich habe mal die Stellen, die mir sofort ins Auge gesprungen sind, mit roten Pfeilen markiert. Hier der Original-Text dieser Mail:<\/p>\n<blockquote><p>Am 8. Sept. 2022, um 15:34, Sparkasse &lt;caaa13[@]t-online.de&gt; schrieb:<\/p>\n<blockquote><p>Sehr geehrte Damen und Herren,<\/p>\n<p>um die Auswirkungen der gestiegenen Energiepreise f\u00fcr die Verbraucher abzumildern, wird im September ein Pauschalbetrag von 300 Euro an alle Erwerbst\u00e4tigen ausbezahlt. Dies ist ein Beschluss der Bundesregierung und Inhalt des Entlastungspakets 2022, welches die durch den Ukraine-Krieg entstandene Energiekosten-Explosion etwas abfedern soll.<\/p>\n<p>Wer erh\u00e4lt die Energiepauschale?<\/p>\n<ul>\n<li><strong>Steuerpflichtige<\/strong> mit Eink\u00fcnften aus Gewinneinkunftsarten (\u00a7 13, \u00a7 15 oder \u00a7 18 des Einkommensteuergesetzes) und<\/li>\n<li><strong>Arbeitnehmerinnen und Arbeitnehmer<\/strong>, die Arbeitslohn aus einem gegenw\u00e4rtigen Dienstverh\u00e4ltnis beziehen und in die Steuerklassen I bis V eingereiht sind oder als <strong>geringf\u00fcgig Besch\u00e4ftigte <\/strong>pauschal besteuert werden.<\/li>\n<\/ul>\n<p>Um Ihre Ident\u00e4t sowie den Anspruch auf eine Auszahlung feststellen zu k\u00f6nnen, ben\u00f6tigen wir eine Best\u00e4tigung Ihrer bereits angegeben Daten bei der Erstellung Ihres Girokontos in einer unserer Filialen.<\/p>\n<p>Geben Sie noch heute Ihre aktuellen Daten auf unserer Homapege an und erhalten Sie innerhalb der n\u00e4chsten vier Wochen Ihre Auszahlung der Energiepauschale. Dies k\u00f6nnen Sie ganz bequem von zu Hause aus erledigen, anbei finden Sie einen Direktlink zu den geforderten Angaben.<\/p>\n<p>Vielen Dank f\u00fcr Ihre Zusammenarbeit!<\/p>\n<p>Zur Homepage [Phishing-Link *ttp:\/\/homesecops.de\/grillen.php<\/p>\n<p>Mit freundlichen Gr\u00fc\u00dfen<\/p>\n<p>Ihre Kundenberatung!<\/p><\/blockquote>\n<\/blockquote>\n<p>Bez\u00fcglich der in obigem Screenshot gemachten Anmerkungen noch folgendes. Im Thunderbird wurde mir bei der weitergeleiteten Mail der Absender angezeigt &#8211; soll die Sparkasse sein, die aber eine ganz komische Mail-Adresse verwendete. Hier sollten schon die Alarmglocken klingeln. Dann gibt es einige Schreibfehler, die einer Sparkasse auch nicht unterlaufen sollten.<\/p>\n<h2>Kleine Analyse<\/h2>\n<p>Das Ziel der Phishing Mail ist es, Zugangsdaten f\u00fcr ein Bankkonto abzugreifen. Die unter \"Zur Homepage\" verlinkte Phishing-Seite liegt auf <em>*ttp:\/\/homesecops.de\/grillen.php<\/em>. Eine http-Adresse, um Zugangsdaten einzutippen, geht ja mal gar nicht &#8211; und eine Bank d\u00fcrfte inzwischen eine verschl\u00fcsselte https-Verbindung zu ihrer Banking-Seite anbieten. Ich habe dann die angegebene URL auf virustotal.com \u00fcberpr\u00fcfen lassen und folgendes <a href=\"https:\/\/www.virustotal.com\/gui\/url\/710d97d96d04d864c48de5b04240d352642868539822c83c5f8fa9ad9d87b284\" target=\"_blank\" rel=\"noopener\">Ergebnis<\/a> erhalten:<\/p>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/url\/710d97d96d04d864c48de5b04240d352642868539822c83c5f8fa9ad9d87b284\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Virustotal-Analyse 1\" src=\"https:\/\/i.imgur.com\/C6bU9JW.png\" alt=\"Virustotal-Analyse 1\" \/><\/a><\/p>\n<p>War nat\u00fcrlich etwas ersch\u00fctternd, dass kein \"security vendor\" diese URL als sch\u00e4dlich markiert hat. Immerhin meldet Abusix die Seite als Spam. Aber man sollte sich klar sein, dass virustotal.com keinen Persil-Schein ausstellen kann. Die Phishing-URL ist noch so frisch, dass die Sicherheitsanbieter dort noch nichts listen. Ich habe daher versuchsweise nur die Haupt-Domain <em>*ttp:\/\/homesecops.de <\/em>pr\u00fcfen lassen und bekam folgendes <a href=\"https:\/\/www.virustotal.com\/gui\/url\/77485e220286bc05398d42ab340e37c7829b38267a4f8df97ab3eb2ba729221b?nocache=1\" target=\"_blank\" rel=\"noopener\">Ergebnis<\/a>.<\/p>\n<p><a href=\"https:\/\/www.virustotal.com\/gui\/url\/77485e220286bc05398d42ab340e37c7829b38267a4f8df97ab3eb2ba729221b?nocache=1\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Virustotal-Analyse 1\" src=\"https:\/\/i.imgur.com\/0ptdu2V.png\" alt=\"Virustotal-Analyse 1\" \/><\/a><\/p>\n<p>Das sieht schon mal deutlich differenzierter aus &#8211; die Domain wird bereits von drei Sicherheitsanbietern als Phishing-Ziel und als sch\u00e4dlich ausgewiesen. Dazu geh\u00f6rt auch Google Safebrowsing. Die URL <em>*ttp:\/\/homesecops.de <\/em>und auch die Adresse <em>*ttp:\/\/homesecops.de\/grillen.php<\/em> liefert beim direkten Aufruf (solltet ihr nicht machen) einen Server-Error 503 (Service Temporarily Unavailable). Die Phishing-Funktionen sind also bereits abgeschaltet &#8211; ob der Server-Betreiber was gemerkt hat, wei\u00df ich nicht.<\/p>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/19\/wissen-webseite-als-kompromittiert-gemeldet-wie-geht-man-vor\/\">Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor?<\/a> hatte ich ja skizziert, wie man eine kompromittierte Webseite mit dem <a href=\"https:\/\/sitecheck.sucuri.net\/\" target=\"_blank\" rel=\"noopener\">Sucuri Seit Check<\/a> \u00fcberpr\u00fcfen kann.<\/p>\n<p><img decoding=\"async\" title=\"Sucuri Site Check homesecops.de\" src=\"https:\/\/i.imgur.com\/n2Ygjdn.png\" alt=\"Sucuri Site Check homesecops.de\" \/><br \/>\nSucuri Site Check-Ergebnis<\/p>\n<p>Eine \u00dcberpr\u00fcfung der Ziel-Domain ergab, dass der Scan scheiterte (Fehler 503) und dass die Domain auf einer Black-Liste steht (siehe obiges Bild).<\/p>\n<blockquote><p>Eine <a href=\"https:\/\/whois.domaintools.com\/homesecops.de\" target=\"_blank\" rel=\"noopener\">Whois-\u00dcberpr\u00fcfung<\/a> ergab, dass die Domain zur NETCUP-AS netcup GmbH geh\u00f6rt. Das ist ein <a href=\"https:\/\/www.netcup.de\/\" target=\"_blank\" rel=\"noopener\">Anbieter virtueller Server<\/a> und Hosting-Pakete. Akuell ist die Seite tot, \"hier entsteht eine neue Webseite\", hei\u00dft es. Wie die URL dann aber von Phishern genutzt werden kann, ist mir noch unklar &#8211; m\u00f6glicherweise haben die den Server angemietet und sind dann aufgeflogen.<\/p><\/blockquote>\n<p>Vielleicht helfen die obigen Hinweise (ggf. bei einer eigenen Analyse) weiter.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die hohen Energiekosten treiben viele Verbraucher und Verbraucherinnen um. Von der Politik wird ja eine Entlastung durch Pauschalbetr\u00e4ge avisiert. Dies machen sich auch Cyberkriminelle zunutze und verschicken Phishing-Mails, die die Adressaten zur Herausgabe pers\u00f6nlicher Daten verleiten sollen. Solche Mails sollte &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/09\/10\/phishing-zu-hohen-energiepreisen-und-pauschalbetrag-ber-300-euro-sept-2022\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272707","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272707"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272707\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}