Vorsicht Corona-Phishing: Aktuelle Mails setzen auf Angst und Verunsicherung

Wer E-Mails erhält, die angeblich von WHO oder Sparkasse stammen, der sollte besser zweimal hinschauen: Diverse Spam-Wellen bauen auf die Angst vor dem Virus.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Vorsicht, "Corona-Spam": Aktuelle Mails setzen auf Angst und Verunsicherung

(Bild: Screenshot / Malwarebytes (Collage))

Lesezeit: 5 Min.
Inhaltsverzeichnis

Derzeit landen in vielen E-Mail-Postfächern fast täglich Nachrichten von Unternehmen, die etwa auf Einschränkungen ihrer Services, besondere Hygienemaßnahmen im Rahmen ihrer Produktion oder Rabatt-Aktionen à la "Gemütlich von Zuhause bestellen" hinweisen. Da verwundert es nicht, dass Internetkriminelle ebenfalls auf diesen Zug aufspringen und viele Phishing-Kampagnen im Zeichen des Coronavirus starten.

Unter anderem kursieren gefälschte E-Mails von der World Health Organization (WHO) mit Malware im Anhang. Auch Hinweise auf Filialschließungen der Sparkasse, in denen zu Phishing-Zwecken Kundendaten abgefragt werden, sind unterwegs. In anderen Mails werden etwa Atemschutzmasken und ähnliche Artikel angepriesen, um Daten abzugreifen oder potenzielle Kunden in Fake-Shops zu lotsen.

Via Facebook erhielten wir einen Hinweis auf Spam-Mails im Namen der Sparkasse, vor denen derzeit unter anderem auch in einem Hinweis auf der Website der deutschen Verbraucherzentralen gewarnt wird. Darin wird die (tatsächlich mancherorts erfolgte) Schließung einiger Filialen der Bank als Vorwand zur Abfrage von vollständigen Adressen, (weiteren) E-Mail-Kontaktmöglichkeiten und Telefonnummern missbraucht. Kunden sollen die Daten auf einer in der E-Mail verlinkten Phishing-Site eingeben, von der aus diese bei den Kriminellen landen.

Dank des Sparkassen-Logos und der einwandfreien Rechtschreibung und Grammatik wirkt die E-Mail recht überzeugend; auch trifft sie mit Formulierungen wie "Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!" genau den Ton, der derzeit auch in legitimen Mails vorherrscht.

(Bild: Screenshot)

Hier gilt wie immer: Auf keinen Fall Links anklicken oder gar Daten eingeben, sondern die E-Mail am besten sofort löschen. Sparkassen-Kunden können sich in einem eigens eingerichteten Sparkassen-Blog zum Coronavirus unter anderem zum Thema Filialschließungen informieren. Kontaktadressen, etwa auch zur telefonischen Nachfrage nach der Legitimität erhaltener E-Mails, finden sie im jeweiligen "Kontakt"-Bereich der Website "ihrer" Sparkasse.

Vor einer englischsprachigen, angeblich von der WHO stammenden E-Mail mit Schadcode im Gepäck warnt derzeit der Sicherheitssoftware-Hersteller Malwarebytes. Darin wird behauptet, dass die Weltgesundheitsorganisation ein kostenloses E-Book über wichtige Corona/COVID-19-Schutzmaßnahmen zusammengestellt habe, das der E-Mail auch gleich als Zip-Archiv anhänge ("My Health Ebook").

Der E-Mail-Text appelliert an das Verantwortungsbewusstsein des Empfängers und erweckt den Anschein hoher Dringlichkeit, den Inhalt des vermeintlichen E-Books zu studieren. Im Zip-Archiv lauert laut Blogeintrag von Malwarebytes stattdessen ein Downloader, der nach einem Doppelklick einen (Windows-spezifischen) Trojaner namens FormBook nachlädt. Der stiehlt Daten aus dem Windows-Clipboard und Browsern und loggt Tastatureingaben, um im Anschluss alles an einen entfernten Server zu schicken.

(Bild: Malwarebytes)

Die WHO hat auf ihrer Website eine allgemeine Warnung vor Cyber-Kriminellen veröffentlicht, die sich als WHO(-Mitarbeiter) ausgeben. Aus ihr geht klar hervor, dass die Organisation niemals E-Mail-Anhänge verschickt, um die der Empfänger nicht vorher ausdrücklich gebeten hat. Auch fordere sie niemals dazu auf, Links zu öffnen, die nicht auf die Domain who.int zeigen.

Bereits Ende Februar warnte das LKA Niedersachsen vor E-Mails mit vermeintlichen Schutzmasken-Angeboten. Dass diese Masche weiterhin aktuell ist, zeigen mehrere aktuelle Beispiele, die heise Security vorliegen.

"Neben häufigem, gründlichem Händewaschen bietet die FFP2 Atemmaske einen wirksamen Schutz gegen Krankheitserreger. Es kann mehr als 95% der Mikropartikel filtern und so Krankheiten vorbeugen", heißt es unter anderem in einer solchen E-Mail. Ein eingebetteter Link verweist auf die Möglichkeit, ein preiswertes Vierer-Set zu kaufen, "damit du deine ganze Familie vor der Krankheit schützen kannst".

Hinter solchen Links verbergen sich oft recht professionell wirkende Fake-Shops, die im Voraus kassieren, aber niemals Ware liefern. Auch andere Szenarien sind denkbar, in denen schlicht Adress- und Kreditkartendaten gesammelt oder Nutzer auf Websites mit Malware gelotst werden. In diesem Zusammenhang hilft der grundsätzliche Hinweis, nicht auf Angebote per Mail einzugehen, die man nicht selbst angefordert hat. Oder die gewünschten Produkte von vornherein bei einem der großen und seriösen Anbieter zu bestellen.

Die Liste aktueller Beispiele für Phishing- und Malware-Kampagnen mit Corona-Bezug ließe sich noch stark erweitern; somit ist derzeit gerade bei E-Mails mit entsprechendem Betreff und Inhalt besondere Vorsicht geboten. Grundsätzliche Tipps zum Erkennen solcher und ähnlicher Betrugsmaschen via Spam- beziehungsweise Phishing-Mails finden Sie hier:

(ovw)