Seit 2017 Ministeriums-Website ermöglichte Phishing-Mails
News folgenPhishing-Mails in Namen großer Unternehmen oder Banken gibt es oft. Nun wurde aber bekannt, dass Betrüger mithilfe eines Tricks auch Nachrichten im Namen eines Bundesministeriums verschicken konnten.
Betrüger konnten seit 2017 ein Newsletter-Formular des Bundesfamilienministeriums für Phishing-Attacken ausnutzen. Mithilfe eines Tricks war es Unbekannten möglich, so Betrugsnachrichten mit der Mail-Adresse des Ministeriums als Absender zu senden. Das berichtet das Computermagazin "c't"
Möglich war das durch einen Fehler bei der Newsletter-Anmeldung. Denn das Familienministerium verlangte bei einer Anmeldung, dass Nutzer ihren Namen eingeben. Betrüger konnten hier aber einen beliebig langen Text einfügen, der dann an die Mail-Empfänger ausgespielt wird. So hatte die "c't"-Redaktion Spam-Mails mit einem solchen Inhalt erhalten.
Anrede beliebig änderbar
Die "c't"-Redaktion konnte ebenfalls so eine Nachricht erstellen. Dafür reichten die Funktionen im Firefox-Browser und grundlegende HTML-Kenntnisse. Dadurch konnte die Redaktion die Nachricht auch um Phishing-Links erweitern.
Auf Anfrage der "c't" teilte das Familienministerium mit, dass der Behörde nur Spam-Mails bekannt seien, die mit der Lücke erstellt worden seien. Auch seien eingegebene Daten erst in einer Datenbank abgelegt worden, wenn Nutzer den Bestätigungslink in der Nachricht anklickten. Wie oft die Lücke ausgenutzt wurde, ist nicht bekannt. Die Anmeldung zum Newsletter-Service selbst ist derzeit nicht erreichbar.
Wie kann ich Phishing-Mails normalerweise erkennen?
Für gewöhnlich versuchen Betrüger, an Nutzerdaten zu kommen, indem sie Nachrichten in Namen großer Unternehmen oder Banken fälschen. Die Mails sehen dann zwar so aus, als ob sie beispielsweise von Amazon stammen, wurde aber in Wirklichkeit von einer anderen Adresse abgeschickt. Das lässt sich normalerweise an der Kopfzeile der Nachricht erkennen. Weitere Tipps, wie Sie Phishing-Mails ausmachen können, lesen Sie hier.
In vielen Fällen wollen Betrüger auch ans Geld ihrer Opfer. In sogenannten Spam-Mails geben sie sich beispielsweise als Anwalt aus, der das Erbe eines angeblich verstorbenen Bekannten verwaltet. t-online.de hatte mit so einem Betrüger über Wochen Kontakt. Die Geschichte dazu lesen Sie hier.
Nutzer müssen mitdenken
Wenn zudem Websites gehackt werden, verkaufen Kriminelle die erbeuteten Daten – wie eben Mail-Adressen der Nutzer – im Darknet. Wer das Spam-Risiko minimieren möchte, sollte darum seine E-Mail-Adresse, beziehungsweise veraltete Accounts von allen Seiten und Diensten löschen lassen, die er nicht mehr verwendet. Wie Sie alte Accounts finden und löschen, lesen Sie hier.
Im Falle von Spam-Nachrichten in Namen des Familienministeriums wäre es aber schwer gewesen, die Fälschungen zu erkennen. Hier rät die "c't", dass Nutzer mitdenken sollen. So schreibt der Autor Mirko Dölle: "Warum sollte einem das Bundesfamilienministerium unverlangt eine E-Mail schicken, in der es zur Eingabe von persönlichen Daten auf irgendeiner Internetseite auffordert? So weit reicht die Fürsorge unseres Sozialstaats dann doch nicht."
- heise online: "Bundesministeriums-Website ermöglichte Spamming und Phishing"
