Aktuelle Phishing-Welle: Betrug mit Magenta-Treuepunkten

Derzeit schwemmt eine perfide Phishing-Welle betrügerische E-Mails in die Posteingänge insbesondere von Telekom-Kunden. Sie sind optisch sehr überzeugend aufgemacht, auch die Texte sind weitgehend korrekt und weisen auf den ersten Blick keine groben Fehler auf.

Auf den ersten Blick wirken die E-Mails sehr überzeugend. Als Absender ist eine t-online.de-Mail-Adresse angegeben, die sich beim genaueren Hinsehen als Endkunden- anstatt Unternehmensadresse entpuppt. Die Optik imitiert recht überzeugend die der Telekom-Magenta-Marke.

Die Betreffzeilen der Phishing-Mails lauten "🎁 Ihre Punkte: fast verloren 🎅 Ref:7878268". Im Text versuchen die Betrüger, Opfer damit zu ködern, dass sie angeblich Magenta-Treuepunkte gesammelt hätten, die in Kürze verfallen. Diese können sie angeblich in "ein Geschenk" eintauschen. Der Mail-Text ist als Grafik eingebunden, potenzielle Opfer werden lediglich unpersönlich angesprochen.

Social Engineering: Druck durch verfallende Punkte

Um Druck aufzubauen, setzen die Drahtzieher hinter der Betrugsmasche eine kurze Frist: Bis zum 31. Dezember würden diese Punkte verfallen. "Nach diesem Datum wird ihr Punktestand automatisch auf null zurückgesetzt, auch wenn die Punkte nicht eingelöst wurden. Um von Ihren gesammelten Punkten zu profitieren, laden wir Sie ein, diese rechtzeitig gegen ein Geschenk aus unserer Belohnungsliste einzutauschen", behaupten die Täter in der E-Mail.

Die Grafiken in der Mail verlinken zunächst auf eine komplett andere Domain. Insbesondere in mobilen E-Mail-Clients auf Smartphones lässt sich das jedoch in der Regel gar nicht erkennen. Die Zieladresse leitet dann auf eine etwas realistischer erscheinende URL weiter: magentamoments-besonderenvorteilen[.]com könnte eine echte Kampagnen-Landing-Page sein. Es ist leider nicht ungewöhnlich, dass Unternehmen für Marketing-Kampagnen nicht ihre eigentliche Haupt-Domain – in diesem Fall wären das etwa telekom.de, magenta.de oder t-online.de – verwenden, wodurch Internetnutzern diese Verifikationsmöglichkeit genommen wird.

Auf der Phishing-Seite locken hochwertige Preise wie ein iPhone 16 Pro oder ein aktueller Thermomix mit geringer Zuzahlung; direkt für den Punktestand erhältlich, obwohl die angezeigte Punktezahl dafür nicht ausreichen dürfte, seien etwa eine populäre Soundbar oder eine Küchenmaschine von Silvercrest. Dass die vermeintlichen Preise für rund zehn Prozent mehr Punkte mehr als das Dreifache wert sind, dürfte aufmerksamen Interessenten möglicherweise auffallen.

Wer nun einen Preis einlösen möchte, wird auf eine weitere Domain geführt, wo neben Adressdaten Zahlungsinformationen abgefragt werden. Da keine Erklärung erfolgt, warum für einen eigentlich kostenlosen Preis nun doch ein geringer Betrag zu bezahlen wäre, könnten potenzielle Opfer noch von einer Eingabe von Daten zurückschrecken. Besonders perfide: Wer hier eine Geldtransaktion anstößt, erwartet tatsächlich eine Abbuchung und wird ihr nicht widersprechen. Ob lediglich der angegebene Betrag abgebucht wird oder die Betrüger versuchen, das Konto leerzuräumen, bleibt unklar. Das Formular fragt zudem lediglich Kreditkartendaten ab, obwohl angeblich weitere Zahlungsmittel möglich wären.

Die Betrüger senden die Phishing-Mails gezielt an t-online-Mailboxen. Da die Telekom der größte Telekommunikationsanbieter in Deutschland ist, erreichen sie so einen großen Teil der Bevölkerung. Zudem ist wahrscheinlich, dass diese die Magenta-Marke kennen und potenziell für geleistete Zahlungen Punkte in einem Bonussystem erhalten könnten – die kriminellen Drahtzieher bekommen so zumindest den Fuß in die Tür. Insbesondere auf Smartphones mit den dortigen E-Mail-Clients sind die Domain- und Adressfehler in der Regel nicht unmittelbar zu erkennen. Es handelt sich aber eindeutig um betrügerisches Phishing, Empfänger dieser Mails sollten sie einfach löschen.

(dmk)