Corona-Phishing: Betrüger locken mit angeblichem Weihnachtsbonus für Unternehmen

Phishing-Versuche mit angeblichen Corona-Soforthilfeanträgen sind seit Beginn der Pandemie ein großes Thema: Das Bundeskriminalamt stufte diese Taktik in einer kürzlich veröffentlichten "Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie" als eine der vorrangigen Corona-spezifischen IT-Bedrohungen ein.

Derzeit warnen unter anderem das Landeskriminalamt Niedersachsen, die Handwerkskammer Hannover sowie die Vertretung der Europäischen Kommission in Deutschland vor neuen Corona-Phishing-Kampagnen. Dabei setzen die Gangster jetzt unter anderem auf einen angeblichen, tatsächlich aber nicht existenten "Weihnachtsbonus" für kleine Unternehmen und Soloselbständige. Aber auch gefälschte Antragsformulare für die seit dem 21. Oktober beantragbare Überbrückungshilfe II seien im Umlauf.

Datenklau statt Weihnachtsbonus

In einem Sicherheitshinweis des LKA Niedersachsen wurde bereits am 19. November vor Phishing-Mails gewarnt, denen ein angebliches Antragsformular für einen Weihnachts-Bonus im PDF-Format anhing. Vor ein paar Tagen beschäftigten sich dann ein Artikel der Handwerkskammer Hannover sowie ein Newsbeitrag der EU-Kommissionsvertretung mit exakt demselben, offenbar weiterhin relevanten Phänomen.

Nach übereinstimmenden Berichten benennt das PDF als Kontaktstelle stets die E-Mail-Adresse deutschland@ek-europa.eu – wohl um den Eindruck zu erwecken, dass es von der EU-Kommissionsvertretung stamme, deren Adresse allerdings etwas anders (ec-europa) lautet.

Die im Formular abgefragten Daten umfassen unter anderem (Firmen-)Namen, Adress- und Kontaktdaten, Kontodaten für die Überweisung des vermeintlichen Bonus, Angaben zur Branche, Rechtsform des Unternehmens und zur Anzahl der Mitarbeiter sowie Handelsregisternummer und (Umsatz-)Steuer-ID.

T-Online-Kunden besonders im Fokus

Laut der EU-Kommissionsvertretung in Deutschland werden T-Online-Kunden derzeit besonders häufig zur Zielscheibe des Corona-Phishings mit falschen Formularen zu "Weihnachtsbonus" oder Überbrückungshilfe II. Offenbar führe die "Empfängerinfrastruktur hinter T-Online keine Herkunftsüberprüfung der betrügerischen Emails durch", heißt es in dem Hinweis. Die Deutsche Telekom habe auf Anfrage der Kommissionsvertretung "Gegen- und Kommunikationsmaßnahmen" angekündigt.

Die EU-Kommissionsvertretung warnt auf ihrer Website nun bereits zum vierten Mal seit Ende Juli vor Corona-Phishing unter ihrem Namen. heise Security berichtete Mitte Oktober erstmals über die Kampagnen. "Es wurden keine E-Mail-Konten der Europäischen Kommission gehackt", betonte die Vertretung schon damals.

Wer diesen oder ähnlichen Betrugsmaschen bereits aufgesessen ist, kann die Möglichkeit einer Online-Strafanzeige bei der Polizei nutzen; ansonsten empfiehlt es sich, die betreffende Nachricht einfach zu ignorieren und sofort zu löschen. Wer Hinweise auf weitere (Phishing-)Kampagnen an die Polizei weitergeben will, kann dies laut LKA Niedersachen unter anderem über die E-Mail-Adresse trojaner@polizeilabor.de tun.

Update 30.11.20, 15:26: Kleinere Korrektur: Anpassung der Phishing-Zielgruppe im Text.

(ovw)