Betrüger geben sich derzeit mit gefälschten E-Mail-Adressen als EU-Mitarbeiter aus, die ein Corona-Soforthilfepaket anpreisen. Die E-Mails sind Phishing-Attacken, gegen die vor allem die
Telekom ihren Kundinnen und Kunden wenig Schutz bietet.
Alle, die derzeit eine E-Mail mit einem Angebot zu Soforthilfen währende der
Corona-Pandemie erhalten, sollten diese mit äußerster Vorsicht behandeln. Die EU-Kommission warnt in einer
offiziellen Pressemitteilung, dass sich Kriminelle als Kommissionsmitarbeiter ausgeben und es auf sensible Daten ihrer Opfer abgesehen haben. Betroffen davon sind offenbar vor allem Kundinnen und Kunden der Telekom.
EU: Telekom Schuld am Erfolg der Betrüger
Mit einem gefälschten Antragsformular für die "Corona-Überbrückungshilfe II für Unternehmen, Betriebe, Selbstständige, Vereine und Einrichtungen" wird versucht, die Empfänger hinters Licht zu führen. Dass speziell Telekom-Nutzer betroffen sind, ist laut der EU-Kommission auf folgenden Umstand zurückzuführen: "Die Empfängerinfrastruktur hinter T-Online führt offenbar keine Herkunftsprüfung der betrügerischen Emails durch." Es wird eindringlich davor gewarnt, diese E-Mails überhaupt erst zu öffnen.
Gefälschte Formulare als Köder
Im Detail läuft die Phishing-Attacke wie folgt ab: Mit gefälschten, jedoch offiziell wirkenden "@ec.europa.eu"-Absender-Domains geben sich die Kriminellen als Mitarbeiter der Europäischen Kommission aus und stellen EU-Coronahilfen, einen Corona-"Weihnachtsbonus" oder "Überbrückungsgeld II" in Aussicht. So wollen sie die Betroffenen dazu verführen, ein Formular auszufüllen und an eine andere - nicht @ec.europa.eu - E-Mail-Adresse zu versenden. Wer dies tut, wird zum Phishing-Opfer.
Offizielle E-Mail-Konten nur nachgeahmt, nicht gehackt
Die EU-Kommission betont, dass dabei "keine E-Mail-Konten der Europäischen Kommission gehackt, sondern von Kriminellen nachgeahmt" werden. Dies könne nur dann geschehen, "wenn die Infrastruktur des Empfängers dieser bösartigen Mails keine Herkunftsüberprüfung mittels "Sender Policy Framework", kurz SPF durchführt". Tatsächlich ist die Ursache des Problems aber, dass das SPF nicht die normale Absenderadresse einer E-Mail, also das was in der "Von"-Zeile erscheint, sondern nur die "Envelope-From"-Adresse prüft, welche für den Nutzer nicht sichtbar ist. Somit kann ein anderer Absender als in Wirklichkeit vorgetäuscht werden.
Bereits im Juli und Oktober seien laut EU-Kommission ähnliche E-Mails für angebliche Coronahilfen verschickt worden. Nach Anzeige bei der Polizei wurde die entsprechende Domain gesperrt. Die Telekom kündigte indes an, Gegenmaßnahmen zur Lösung des Problems einzuleiten.
Siehe auch:
Anmelden
