{"id":300066,"date":"2024-08-24T00:01:00","date_gmt":"2024-08-23T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300066"},"modified":"2024-08-24T10:42:20","modified_gmt":"2024-08-24T08:42:20","slug":"phishing-kampagne-zielt-auf-wise-nutzer-august-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/24\/phishing-kampagne-zielt-auf-wise-nutzer-august-2024\/","title":{"rendered":"Phishing-Kampagne zielt auf Wise-Nutzer (August 2024)"},"content":{"rendered":"

\"Sicherheit[English]Kurze Info f\u00fcr Besitzer von Wise-Konten, die ich mal vorsorglich hier im Blog einstelle. Momentan scheint eine Phishing-Kampagne zu laufen, die auf Wise-Nutzer zielt. Mir f\u00e4llt auf, dass mein SPAM-Ordner in den letzten Tagen mit entsprechenden Mails geflutet wird. Ich bereits das Thema nachfolgend kurz auf – speziell, um eventuell Nutzer von Wise-Konten, die unsicher sind und zumindest im Web suchen, einen Ankerpunkt der Art \"Vorsicht, Betrug und Phishing\" zu liefern.<\/p>\n

<\/p>\n

Wer oder was ist Wise?<\/h2>\n

\"\"Als ich die ersten Nachrichten im Posteingang sah, die mir anrieten, doch bitte die Sicherheit meines Wise-Kontos zu verbessern, war der Gedanke: \"Kenne mer nit, bruche mer nit, fott domet\" (alter Rheinischer Spruch). Als mehr und mehr Mails im SPAM-Ordner meines Postfachs gelandet sind, habe ich dann beschlossen, etwas genauer hinzuschauen und f\u00fcr die Leserschaft aufzubereiten.<\/p>\n

\"Wise<\/p>\n

Also habe ich einfach mal geschaut, was Wise \u00fcberhaupt ist. Laut Wikipedia ist Wise<\/a>, ehemals TransferWise, ein Online-Geldtransfer-Service f\u00fcr Fremdw\u00e4hrungen mit Sitz in London-Shoreditch. Das Unternehmen wurde im Jahr 2011 von den beiden Esten Kristo K\u00e4\u00e4rmann und Taavet Hinrikus gegr\u00fcndet. Das Fintech-Unternehmen ist inzwischen an der B\u00f6rse und startete mit einer Bewertung von 7,95 Milliarden Pfund. Ist also keine Garagenklitsche mehr und f\u00fcr Phisher von Interesse. Ich selbst habe aber kein Konto bei denen – da war ich mir sicher.<\/p>\n

Phishing-Kampagne zielt auf Wise-Nutzer<\/h2>\n

In meinem Postfach sortiert 1&1 t\u00e4glich eine stattliche Anzahl an SPAM-Nachrichten als SPAM aus. In der t\u00e4glichen Benachrichtigung zu SPAM fielen mir – neben den st\u00e4ndigen Warnungen, dass mein (nicht vorhandenes) McAfee Virenschutzpaket abgelaufen sei – auch pl\u00f6tzlich Mails zu einem Wise-Konto auf.<\/p>\n

\"Wise-Phishing-Mails\"<\/p>\n

Ich habe mir dann dies Mail mal im SPAM-Ordner des 1&1 Postfachs direkt online angesehen – konnte aber ad-hoc nichts sofort Auff\u00e4lliges feststellen – sofern man mal den Begriff \"Sicherheitsverst\u00e4rkung\" weg l\u00e4sst und die merkw\u00fcrdige Absenderadresse aus .br ignoriert.<\/p>\n

\"Wise<\/p>\n

Es ist aber auch zu verlockend, da soll die Sicherheit meiner finanziellen Daten und Konten samt Transaktionen vor Betrug gesch\u00fctzt werden. Sicherheitsaktualisierungen sind auch gut, predigen die Sicherheitsexperten doch immer, selbst inne TV.<\/p>\n

Halt, Stopp, das geht schief<\/h2>\n

Die regul\u00e4ren Blog-Leser vom Fach wissen, dass die obige Nachricht zu einer Phishing-Kampagne geh\u00f6rt. Ich habe mir aber den Spa\u00df gemacht, das mal kurz n\u00e4her zu eruieren. Als ich den Link aus meinem 1&1-Postfach in einer abgesicherten Umgebung \u00f6ffnen und pr\u00fcfen lassen wollte, erschien nachfolgende Warnung von 1&1.<\/p>\n

\"Wise<\/p>\n

H\u00e4ngt damit zusammen, dass 1&1 bei Links von Mails, die im Ordner SPAM einsortiert sind, generell warnt. Aber die obige Seite mit der Warnung zeigt die Ziel-URL, die zwar mit wise.com endet. Aber in der Mail wird einen gmx.net-Adresse zur Umleitung angegeben – nichts, was von Wise kommen sollte.<\/p>\n

Virustotal ist zufrieden …<\/h2>\n

Ich habe dann noch den Ziel-Link bei Virustotal pr\u00fcfen lassen, um herauszufinden, ob da bereits was bekannt ist. Es gab aber leider ein erwartetes Ergebnis – Virustotal sieht den Link nicht als sch\u00e4dlich an.<\/p>\n

\"Wise<\/a><\/p>\n

Entweder ist die Kampagne noch zu frisch, oder die Phisher haben die Seite so aufgezogen, dass Virustotal abgefangen wird und dessen Scanner das Link-Ziel nicht als Phishing erkennen.<\/p>\n

Ich habe noch ein wenig mit der URL herumgespielt, und es wird merkw\u00fcrdig: Der 1&1-Referrer verweist auf GMX. Gebe ich diesen Teil der URL im Browser ein, erhalte ich\u00a0 die Meldung \"Sie verlassen das Angebot von GMX\" und den Hinweis, dass ich mit dem Link zu einer externen Seite gelange – ist also wieder ein Referrer, diesmal von GMX. Best\u00e4tige ich die Weiter<\/em>-Schaltfl\u00e4che, lande ich bei der Wise-Info- und Anmeldeseite. Erkl\u00e4rt, warum Virustotal und weitere Pr\u00fcfseiten nichts beanstandet haben. Aber ich habe aktuell keinen Plan, was die Phishing-Mail als Zweck verfolgt. Eine Werbung f\u00fcr das Wise-Angebot w\u00e4re mit obigem Betreff wenig zielf\u00fchrend.<\/p>\n

Nun doch Phishing<\/h2>\n

Erg\u00e4nzung:<\/strong> Ich habe mir mal den Quellcode der Mail angesehen – deren Inhalt ist als Tabelle mit einfachen Eintr\u00e4gen aufgebaut. Am Ende des Frames findet sich dann folgendes Script, was aber auskommentiert ist.<\/p>\n

<script><!--\r\nvar p = window.parent, $ = p.$, doc = p.document, isMailerInitialized = function () {\r\nif (p.WicketFlightManager.isInitialized() === false) {\r\nsetTimeout(isMailerInitialized, 50);\r\n} else {\r\nwindow.parent.document.dispatchEvent(new CustomEvent('externalContentVisible', {bubbles: true, detail: true}));\r\n}\r\n};\r\n$(doc).ready(isMailerInitialized);\r\n--><\/script><\/pre>\n
In einem weiteren Schritt habe ich dann die Phishing-Mail aus dem 1&1-SPAM-Ordner vom Thunderbird abholen lassen. Dort sah ich die ganze Nachricht. Als ich die betreffende URL der Schaltfl\u00e4che Jetzt sichern<\/em> (zeigte bereits auf eine Fremdadresse) in Virustotal pr\u00fcfen lie\u00df, wurde mir der Link von vier Anbietern als Phishing<\/a> angezeigt.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurze Info f\u00fcr Besitzer von Wise-Konten, die ich mal vorsorglich hier im Blog einstelle. Momentan scheint eine Phishing-Kampagne zu laufen, die auf Wise-Nutzer zielt. Mir f\u00e4llt auf, dass mein SPAM-Ordner in den letzten Tagen mit entsprechenden Mails geflutet wird. Ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-300066","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300066"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300066\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}