Woche 33: Wie Phisher versuchen, Spam-Filter zu umgehen

23.08.2022 - Die Anzahl, der beim NCSC eingegangenen Meldungen ist in der letzten Woche stark gestiegen. Verantwortlich sind, wie in der letzten Zeit häufig, Drohmails im Namen der Polizei. Weitere Meldungen gingen zu Phishing-Angriffen ein, bei denen die Angreifer versuchten, mit Hilfe von belanglosen Textinhalten in E-Mails, die Spam-Filter auszutricksen.

Trickversuch der Phisher bei Spam-Filtern

Seit einiger Zeit kursieren Phishing-E-Mails, in denen behauptet wird, der Empfänger habe seine letzte Rechnung doppelt bezahlt und könne deshalb eine Rückerstattung beantragen. Der angefügte Link, welcher zwecks Rückerstattung angeklickt werden soll, führt in diesen Fällen auf eine gefälschte Webseite mit der Aufforderung, Login und Passwort einzugeben. Neben weiteren Angaben werden auch die Kreditkartendaten abgefragt.

In der letzten Woche erhielt das NSCS wieder zahlreiche Meldungen zu E-Mails mit solchen Versprechen zu Zurückerstattungen. Diesmal gab es allerdings eine Besonderheit, die wohl von den meisten Empfängerinnen und Empfängern übersehen wurde: Öffnete man die E-Mail, offenbarte ein Blick auf den Scroll-Balken auf der rechten Seite, dass in der E-Mail noch weitere Inhalte vorhanden sein müssen.

Der Scroll-Balken auf der rechten Seite verrät, dass unten in der E-Mail noch mehr Text eingefügt sein muss.
Der Scroll-Balken auf der rechten Seite verrät, dass unten in der E-Mail noch mehr Text eingefügt sein muss.

Beim Herunterscrollen erschienen nach etlichen Leerzeilen andere Texte von E-Mails, die mit dem eigentlichen Phishing in keinem Zusammenhang standen, darunter eine Anmeldung zu einer Kindertagesstätte, eine Benachrichtigung zu einem Covid-Test und auch eine Korrespondenz mit einem internationalen Telefonanbieter. Was steckte hier dahinter? Haben die Angreifer in diesem Fall einen Fehler gemacht und versehentlich andere E-Mails angehängt?

Text einer legitimen E-Mail, welches unten an die Phishing E-Mail angehängt wurde.
Text einer legitimen E-Mail, welches unten an die Phishing E-Mail angehängt wurde.

Das NCSC geht davon aus, dass die Angreifer mit dieser Methode versuchen, die Spam-Filter zu ihren Gunsten zu beeinflussen. Da in der E-Mail noch andere alltägliche und legitime Inhalte eingefügt sind, ist die Wahrscheinlichkeit grösser, dass bei der Spam-Bewertung der betrügerische Inhalt weniger ins Gewicht fällt. Ob der Text vom restlichen Text in der E-Mail abgesetzt ist, dürfte wohl zumindest bei einigen Spam-Filtern nicht berücksichtigt werden.

Die verwendeten legitimen Inhalte wurden im Vorfeld durch die Angreifer aus einem E-Mail-Konto gestohlen. Dies zeigt, dass Betrüger versuchen auch Daten, die auf den ersten Blick für sie wertlos sind, noch zu ihrem Vorteil einzusetzen.

Das NCSC hat diese Vorgehensweise schon in anderen Fällen beobachtet. Beispielsweise wurde bei Spam-E-Mails auch schon zusätzlicher unverdächtiger Text in der Hintergrundfarbe eingeblendet. Dieser ist so für den Empfänger nicht lesbar, Spam-Filter erkennen den Text aber trotzdem und berücksichtigen diesen in der Bewertung.

  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die Sie über einen Link in einer E-Mail oder SMS angeklickt haben. Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.

  • Seien Sie skeptisch, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige oder Gerichtsverfahren, Konto- oder Kartensperrung, Verpasste Chance, Unglück usw.).

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 23.08.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_33.html