Host Europe und LKA Niedersachsen warnen vor Phishing-Welle

Online-Betrüger ködern derzeit Kunden des Hosting-Anbieters Host Europe. Davor warnt das Unternehmen selbst, aber auch das LKA Niedersachsen sieht sich zu einer Warnung der Bevölkerung genötigt.

Das Landeskriminalamt Niedersachsen erklärt in einer aktuellen Mitteilung auf dem Portal polizei-praevention.de, dass die Phishing-Mails optisch den originalen E-Mails, die Host Europe versendet, stark ähneln. Wer nicht genau hinschaue, erkenne die Fälschung im ersten Moment nicht und könne dadurch möglicherweise in die Falle tappen.

Echte Daten sollen Vertrauen erwecken

Die betrügerischen E-Mails enthalten echte Daten, erklärt das LKA Niedersachsen. Wo dieser herstammen, sei unklar. In den von heise online gesichteten Mails waren insbesondere die Domain-Namen korrekt, an die die Mails gerichtet waren; insbesondere eine info@-Sammeladresse sollte zudem jede Domain vorhalten, die sich an die RFCs hält, die die Basis des Internets definieren.

Die Mails behaupten, es stünden Rechnungen offen. Bei ausbleibender Zahlung würden die Domain und die gespeicherten Inhalte umgehend gelöscht. Dem LKA Niedersachsen zufolge verschicken die Cyberkriminellen mehrere E-Mails, die aufeinander aufbauen. Sie beziehen sich teils auf zuvor bereits versendete Phishing-Mails und bieten etwa eine Wiederherstellung an.

Gemein ist allen Phishing-Mails, dass sie dieselbe angebliche Rechnungsnummer tragen; 33250304. Der Betreff lautet "Dringende Zahlungserinnerung – Rechnung 44250304". Die Ansprache erfolgt nicht persönlich, sondern nennt die E-Mail-Adresse.

Die Absender-Adresse hat als Anzeige-Namen zwar "Host Europe - Rechnung - NoReply", verweist jedoch auf kryptische, nicht mit Host Europe verbundene Domains. Daran lassen sich die Fälschungen ebenfalls erkennen.

Der angezeigte Link führt auf eine Phishing-Seite, die nicht auf der in der Mail angezeigten Adresse, sondern auf beliebigen Domains, die ebenfalls nichts mit Host Europe zu tun haben, liegt. Ein kleines Host-Europe-Logo prangt dort über einem Formular, das die Eingabe von Kreditkartendaten verlangt. Laut LKA Niedersachsen folgt nach Eingabe der Daten ein Hinweis "3D Sicheres Laden von Transaktionen", aber weiter passiert nichts. Dies sei entweder ein Fehler der Täter, oder sie begnügen sich mit vollständigen Kartendaten. Es sei nicht absehbar, ob gegebenenfalls später der recht geringe und unauffällige Betrag in der Regel in Höhe von knapp 13 Euro abgebucht wird oder die Daten für Online-Einkäufe missbraucht werden.

Host Europe warnt auf der Webseite des Unternehmens ebenfalls vor diesen Phishing-Mails. Kunden werden gebeten, diese Mails nicht mehr einzusenden, es liegen demnach bereits genügend Beispielmails vor. Beim Eintrudeln solcher Phishing-Mails sollten Empfänger den enthaltenen Links nicht folgen, warnen LKA Niedersachsen und Host Europe unisono.

Hosting-Anbieter geraten immer wieder in den Fokus von Cyberkriminellen. Mitte vergangenen Jahres hatten Betrüger versucht, Ionos-Kunden mit Phishing-Mails abzuzocken. Dort diente als Köder der Aufruf, die Kunden müssten umgehend Einstellungen des Mail-Clients ändern, um weiterhin auf ihre Postfächer zugreifen zu können. Der aktuelle Aufhänger war besonders perfide, da zu dem Zeitpunkt die veralteten Verschlüsselungsprotokolle TLS 1.0 und 1.1 von Ionos deaktiviert wurden und tatsächlich gegebenenfalls Konfigurationsanpassungen nötig waren.

(dmk)