{"id":274144,"date":"2022-10-20T15:30:30","date_gmt":"2022-10-20T13:30:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274144"},"modified":"2022-10-20T15:30:30","modified_gmt":"2022-10-20T13:30:30","slug":"warnung-vor-phishing-kampagne-finanzmarktaufsicht-aktenzeichen-520-js-345-16-19-10-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/20\/warnung-vor-phishing-kampagne-finanzmarktaufsicht-aktenzeichen-520-js-345-16-19-10-2022\/","title":{"rendered":"Warnung vor Phishing-Kampagne: "FINANZMARKTAUFSICHT Aktenzeichen 520 Js 345\/16" (19.10.2022)"},"content":{"rendered":"

\"SicherheitKurze Warnung, die sich vor allem an Administratoren in Firmen richtet, aber auch private Nutzer treffen kann. Betr\u00fcger haben eine neue Phishing-Kampagne gestartet, in der per Mail (datiert auf den 19. Oktober 2022) von einer angeblichen FMA Rechtsabteilung der Finanzmarktaufsicht Aufkl\u00e4rung im Fall einer Straftat erbeten wird. Bei einem Betrugsfall sei der Empf\u00e4nger m\u00f6glicherweise Gesch\u00e4digte. Die Phishing-Mail, die mir ein Leser zukommen lie\u00df, wird aktuell noch nicht von Virustotal als sch\u00e4dlich erkannt.<\/p>\n

<\/p>\n

\"\"Es war eine private Mitteilung eines Blog-Lesers auf Facebook, die heute Nacht meine Aufmerksamkeit auf sich zog. Blog-Leser T.N. schrieb mir, dass er gerade eine frische Mail in seinem Postfach erhalten habe, die sich als gut gemachte deutschsprachige Phishing-Mail herausgestellt habe. <\/p>\n

\"Phishing-Mail:<\/a>
Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Die Mail (siehe obigen Screenshot) hat nachfolgenden Inhalt, der sich erst einmal plausibel liest, wenn man davon absieht, dass die Anrede etwas merkw\u00fcrdig gestaltet ist (Name doppelt in der Anrede, keine Geschlechtsbezeichnung etc.) und einige Schreibfehler vorhanden sind.<\/p>\n

\n

Sehr geehrte\/r   T. N. T. N., <\/p>\n

Wir kontaktieren Sie im Zusammenhang mit einer Straftat. Ihre Pers\u00f6nlichen Daten wurden auf konfiszierten Festplatten von Betr\u00fcgern entschl\u00fcsselt und m\u00f6glicherweise sind Sie Gesch\u00e4digter in einem Betrugsfall.<\/p>\n

Aufgrund der hohen Anzahl von Gesch\u00e4digten, gehen wir von einer Bandenkriminalit\u00e4t aus. Mit der Beschlagnahmung von Festplatten und der Verhaftung mehrerer Beteiligter durch die Osnabr\u00fccker Bundespolizei, w\u00fcrden wir Sie bitten uns in dem laufenden Verfahren zu unterst\u00fctzen. F\u00fcr eine erfolgreiche Verurteilung ben\u00f6tigen wir ihr mithilfe und vertiefende Informationen zu ihrem Fall.<\/p>\n

F\u00fcllen Sie unser daf\u00fcr angefertigtes Onlineformular aus oder kontaktieren Sie uns unter der unten stehen Telefonnummer pers\u00f6nlich.
Onlineformular: *ttp:\/\/c16w[dot]com\/d76
Aktenzeichen: 520 Js 345\/16<\/strong> (Bitte stets angeben)
Artikel \u00fcber die laufende Untersuchung: *http:\/\/c16w[dot]com\/d77<\/p>\n

\"Logo\" <\/p>\n

FINANZMARKTAUFSICHT<\/strong>
Fasanenstra\u00dfe 85 10623 Berlin,
Germany <\/p>\n

Email: <\/strong>finanzaufsicht[AT]fmaufsicht.de
Tel.  Tel:     <\/strong>+49 30 80093202-2<\/p>\n<\/blockquote>\n

Praktischerweise wird ein Online-Formular verlinkt, in der der \"Gesch\u00e4digte\" nur noch seine Daten eintragen soll. Hier ist schon klar, dass es darum geht, Daten abzufischen. Da ich die Mail zugeschickt bekam, stelle ich nachfolgend noch den Quellcode des Headers, in dem ich pers\u00f6nliche Daten des Empf\u00e4ngers entfernt habe, ein.<\/p>\n

\n
Received: from mail.i6ny.com (vmi823455.contaboserver.net [194.163.174.16])\n\tby dd40506.kasserver.com (Postfix) with ESMTPS id DEF82BA80982\n\tfor <t***@***.de>; Wed, 19 Oct 2022 16:47:50 +0200 (CEST)\nFrom: \"FMA RECHTSABTEILUNG\" <promo@i6ny.com>\nTo: \"T. N.\" <t***@***de>\nSubject: Aktenzeichen 520 Js 345\/16\nDate: Wed, 19 Oct 2022 16:47:49 +0200\nMessage-ID: <gE0EgVkozPEtAARkTwPbIk1eCT2jyYjbp5RSPdGxs@i6ny.com>\nMIME-Version: 1.0\nContent-Type: multipart\/alternative;\n\tboundary=\"----=_NextPart_000_0AF9_01D8E459.7BB60BA0\"\nX-Mailer: Microsoft Outlook 16.0\nX-Spam-Checker-Version: SpamAssassin 3.4.4 (2020-01-24) on\n\tdd40506.kasserver.com\nX-Original-To: t***@****.de\nX-KasLoop: m04afd61\nX-EsetId: 37303A29E45CC554677764\nAuthentication-Results: dd40506.kasserver.com;\n\tdkim=pass (4096-bit key; unprotected) header.d=i6ny.com header.i=@i6ny.com header.a=rsa-sha256 header.s=mail header.b=PqmnJJyd;\n\tdkim-atps=neutral\nX-Spamd-Bar: --\nX-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_IX_MANITU=-1.5 CL_IP_EQ_FROM_MX=-3.1; rate: -6.1\nX-Dmarc-Test: Allow\nThread-Index: AQLv3LnzfDw8DYEc2B3W3FCx9B8y6g==\n\nThis is a multipart message in MIME format.\n\n------=_NextPart_000_0AF9_01D8E459.7BB60BA0\nContent-Type: text\/plain;\n\tcharset=\"utf-8\"\nContent-Transfer-Encoding: quoted-printable\n\n=20<\/pre>\n<\/blockquote>\n
Die Nachricht gibt vor, von der Finanzmarktaufsicht zu sein und erbittet vom Empf\u00e4nger Informationen zu einem Betrugsfall, wobei die Person als Gesch\u00e4digter gef\u00fchrt werde. SpamCOP etc. erkennen die Mail noch nicht. Aber die Links werden Administratoren bereits auf die Phishing-Geschichte hinweisen. <\/p>\n
\"Virustotal-Ergebnis<\/a>
Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n
Ich habe die Ziel-URL auf Virustotal pr\u00fcfen<\/a> lassen. Dort wird die Seite von keinem der Scanner als b\u00f6sartig erkannt (siehe obigen Screenshot. <\/p>\n
Das Thema ist speziell in \u00d6sterreich schon im Mai 2022 hochgekocht, wie man bei einer Internetsuche nach \"finanzmarktaufsicht phishing erkennen kann. Denn in \u00d6sterreich gibt es eine Finanzmarktaufsicht als Beh\u00f6rde – wobei obige Mail eine deutsche Adresse samt E-Mail-Adresse und Telefonnummer suggeriert. Die Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht (BAFIN) warnt mit diesem Artikel<\/a> vom 22.6.2022 vor dem Betrug durch finanzmarktaufsicht[dot]net<\/em>. Auch von der IHK Berlin gibt es eine Warnung<\/a>.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
Polizei\/LKA-Niedersachsen warnt vor gef\u00e4lschten Vorladungen per Mail<\/a>
Phishing: Polizeiwarnung vor Amazon-Bestellbest\u00e4tigungen<\/a>
Polizei warnt vor neuen Erpresser-Mails (Feb. 2019)<\/a>
Checkliste f\u00fcr Phishing-Opfer von BSI und Polizei bereitgestellt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Kurze Warnung, die sich vor allem an Administratoren in Firmen richtet, aber auch private Nutzer treffen kann. Betr\u00fcger haben eine neue Phishing-Kampagne gestartet, in der per Mail (datiert auf den 19. Oktober 2022) von einer angeblichen FMA Rechtsabteilung der Finanzmarktaufsicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-274144","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274144"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274144\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}