Momentan erleben wir eine Pandemie-Situation. Der Ausbruch der Coronavirus-Krankheit löst weltweit Besorgnis aus. Viele Länder kontrollieren massiv ihre Grenzen und setzen Einreiseverbote durch. Es kommt zu Hamsterkäufen und an den Finanzmärkte zu Verlusten, wie schon lange nicht mehr.

Betrüger wittern aufgrund der aktuellen Lage ihre Chance. Notlagen bieten Cyberkriminellen immer wieder die Gelegenheit, betrügerische Kampagnen zu fahren. Sie scheuen nicht davor, Profit aus einer Viruserkrankung zu schlagen, die bereits mehr als 6.000 Todesopfer weltweit forderte.

Manche Betrüger denken wahrscheinlich, Weihnachten und Oster fallen zusammen: eine ängstliche Bevölkerung, schutzbedürftige Menschen mit erhöhtem Corona-Risiko, Hamsterkäufe und massenhaft Fake-News, die in sozialen Medien herumgeistern.

Die Betrugsmaschen können unterschiedliche Formen annehmen. ESET-Forschende erläutern hier die am meisten vorkommenden:

Fake News

Als eine der wichtigsten Informationsquellen über die Corona-Pandemie gilt die Weltgesundheitsorganisation (WHO). In den laufenden Betrugskampagnen erscheint die Organisation immer wieder als Autorität. Im folgenden Beispiel missbrauchen die Cyberkriminellen beispielsweise die Reputation der WHO, um Opfer zu verleiten, auf den schädlichen Link in einer Betrugs-E-Mail zu klicken. Üblicherweise führen solche URLs zu Malware oder Phishing-Webseiten.

Abbildung 1: Eine E-Mail, welche die Reputation der WHO missbraucht, um Malware zu verbreiten oder Opfer auf Phishing-Webseiten zu leiten.

Abbildung 1: Eine E-Mail, welche die Reputation der WHO missbraucht, um Malware zu verbreiten oder Opfer auf Phishing-Webseiten zu leiten.

Die WHO ist sich bewusst, dass ihre Marke missbraucht wird. Deshalb gibt sie auf ihrer Webseite eine Auskunft über die im Umlauf befindlichen schädlichen E-Mails. In einem wichtigen Absatz erklärt sie folgendes:

„Stellen Sie sicher, dass der Absender eine E-Mail-Adresse wie 'person@who.int' hat. Wenn nach dem '@'-Symbol etwas anderes als 'who.int' steht, ist dieser Absender nicht der WHO zugehörig. Die WHO sendet keine E-Mails von Adressen, die z.B. auf '@who.com', '@who.org' oder '@who-safety.org' enden.“

Die Weltgesundheitsorganisation rät, Links in E-Mails zu prüfen. URLs von Webinhalten beginnen mit https://www.who.int/ und verwenden keine andere Domain. Bei Zweifeln sollte die angezeigte Adresse aus der Mail direkt in den Browser eingegeben werden.

Wichtig ist, dass die WHO nicht wahllos E-Mails verschickt, ohne dass ein User sich für irgendeinen Dienst vorher registrierte. Bei Informationsbedarf ist man stets gut beraten, zur offiziellen WHO-Webseite zu navigieren oder die jeweiligen Seiten der nationalen Gesundheitsministerien (BMG) und/oder Einrichtungen zur Krankheitsüberwachung- und prävention (RKI) zu besuchen.

Informationen aus vertrauenswürdigen Quellen werden immer über die entsprechenden offiziellen Kanäle verbreitet, nicht über willkürlich versendete E-Mails mit schädlichen Links.

Im folgenden Beispiel versucht sich eine Phishing-Webseite als Wall Street Journal (WSJ) auszugeben. Die Seite berichtete über angeblich neue COVID-19 News. Die schädliche URL der Webseite haben wir unkenntlich gemacht. Interessanterweise steht in der URL anstelle von „wall“ das Wort „world“ – wie auch unter WSJ.

Davon abgesehen hält man sich weitestgehend an das Branding der echten „Wall Street Journal“-Webseite. Der User soll gar nicht bemerken, dass es sich nicht um die offizielle handelt. Die eingeblendete Werbung beschert den Betreibern zusätzliche Einnahmen, wenngleich keine persönlichen Nutzerdaten erhoben werden.

Abbildung 2: Fake-Seite versucht Wall Street Journal nachzuahmen

Abbildung 2: Fake-Seite versucht Wall Street Journal nachzuahmen

Vom karitativen Charakter nutznießen

Eine weitere Masche von Cyberkriminellen ist das Spiel mit der Barmherzigkeit von hilfsbereiten Menschen. Mittels Scam-Mails versuchen Gauner, ihre Opfer dazu zu bewegen, die Verbreitung eines angeblichen Impfstoffs für Kinder in China mitzufinanzieren. Zum Zeitpunkt der Erstellung dieses Beitrags gibt es jedoch noch keinen Impfstoff und ein solcher wird nicht vor Anbruch des nächsten Jahres erwartet.

Abbildung 3: Fake-Mail ruft zur Spendensammlung auf – Geld soll an Bitcoin-Adresse gesendet werden

Abbildung 3: Fake-Mail ruft zur Spendensammlung auf – Geld soll an Bitcoin-Adresse gesendet werden

Das interessante an diesem Betrug: Die Cyberkriminellen recyclen eine bestehende Kampagnen-Infrastruktur, nur dass es dieses Mal eben um das Coronavirus geht. Im Jahr 2019 berichteten wir von der Sextortion Scam-Kampagne Redux, mithilfe derer versucht wurde, Geld von den Empfängern zu erpressen.

Die E-Mail-Empfänger des COVID-19 Spendenaufrufs sollen Geld an eine Bitcoin-Wallet schicken. Zwar werden nur ein Bruchteil der erreichten Menschen technisch gesehen in der Lage sein, dem nachzukommen, allerdings kann so eine global ausgerichtete Kampagne für die Cyberkriminellen finanziell dennoch attraktiv sein.

Demaskiert – Ein besonders dreistes Phishing-Beispiel

Eine andere Betrugsart zielt auf den aktuellen Mangel an Schutzmasken. Opfer von Scam-Mails sollen glauben, sie können Gesichtsmasken, die vor dem neuen Coronavirus schützen, ganz einfach online bestellen – man muss nur dem Link in der E-Mail folgen. Stattdessen geben sie sensible persönliche und finanzielle Daten an die Betrüger preis.

Corona Maske Spam Deutsch Corona Maske Spam Deutsch Corona Maske Spam Deutsch Corona Maske Spam Deutsch

Abbildung 4: Fake-Webseite wirbt mit Gesichtsmasken

Corona Maske Spam Deutsch

Abbildung 5: Phishing-Formular der hinterlistigen Webseite.

Gesichtsmasken sind nur in sehr begrenztem Umfang erhältlich. Man sollte sich vor dem Kauf genaustens informieren und ausschließlich bei einem vertrauenswürdigen Anbieter ordern. Immerhin hinterlässt man eine Reihe von sensiblen Informationen.

Abschließende Gedanken

Wir haben nur ein paar Beispiele erläutert, wie Cyberkriminelle die aktuelle Corona-Pandemie ausnutzen, um Kapital aus der Situation zu schlagen. Für Unternehmen und Privatleute zeigt sich wieder einmal, wie Cyberkriminelle denken und handeln.

Wir rufen zur besonderen Wachsamkeit auf, um cyberkriminelles Verhalten (Scam-Mails, etc.) zu identifizieren und letztendlich zu ignorieren. Dafür haben wir hier noch einmal kurz und knapp einige grundlegenden Maßnahmen aufgezählt:

  • Vermeidung von Klicks auf Links und Herunterladen von E-Mail-Anhängen in unaufgeforderten Nachrichten. Sichergehen, dass E-Mail authentisch ist.
  • Kommunikationen meiden, in denen nach personenbezogenen Daten gefragt wird. Inhalt und Absender prüfen. Besitzt der Adressat eine der Organisation zugehörige Mail? (Beispiel WHO)
  • Besondere Vorsicht bei E-Mails, die in irgendeiner Art und Weise Druck aufbauen oder unbedingtes Handeln verlangen – vor allem in Bezug auf COVID-19.
  • Achtung vor unseriösen Wohltätigkeitsorganisationen oder Crowdfunding-Kampagnen (Stichwort: Bitcoin-Wallet)
  • Mehrschichtige Sicherheitssoftware schützt vor vielen Phishing-Angriffen.