Gefälschte E-Mails erkennen

Die IHKs in Deutschland und ihre Mitgliedsunternehmen sind von einem besonders ausgefeilten Phishing-Angriff betroffen. Ziel des Angriffs ist nach aktuellen Erkenntnissen das Erlangen von Daten der betreffenden Unternehmen, darunter Kontoinformationen. Vom Öffnen der in den E-Mails enthaltenen Links oder einer Dateneingabe ist daher dringend abzuraten. Ein gezieltes Blockieren dieser E-Mails seitens der IHKs ist technisch nicht möglich, weshalb die IHK-GfI die IHK-Mitgliedsunternehmen zu besonderer Wachsamkeit aufruft.

Zahlreiche Unternehmen in Deutschland erhalten im Rahmen des Angriffs vorgeblich von den IHKs versendete E-Mails mit dem Betreff Industrie- und Handelskammer | Aktualisierung der Unternehmensdaten. In der Nachricht fordern die Angreifer unter dem Vorwand einer angeblichen Änderung in der Datenschutzrichtlinie der IHKs zu einer Dateneingabe auf. Mit Klick auf den in den E-Mails hinterlegten Link öffnet sich ein Website-Formular, das dem Design der IHKs nachempfunden ist und neben allgemeinen Unternehmensdaten die Namen von Ansprechpersonen sowie Kontoinformationen abfragt.

Nach aktuellem Kenntnisstand werden im Rahmen der Phishing-Kampagne zwar keine hochsensiblen Daten wie beispielsweise Kennwörter abgefragt, ebenfalls wird der Betrugsversuch scheinbar nicht zum Verteilen schadhafter Software genutzt. Von einem Öffnen der Links oder gar einer Dateneingabe rät die IHK-GfI jedoch dringend ab. Es ist nicht auszuschließen, dass die Betreiber der Phishing-Kampagne die so erlangten Daten für künftige Angriffe auf die Wirtschaft verwenden. Dazu zählen insbesondere sogenannte Social-Engineering-Angriffe, bei denen sich Angreifer ihr zuvor erlangtes Wissen für Betrugsversuche, das Erschleichen sensibler Informationen oder andere kriminelle Zwecke zunutze machen.

Die IHK-GfI hat in ihrer Rolle als zentraler IT-Dienstleister der IHKs den Hosting- sowie Domaindienstleister der Betrugswebsite bereits kontaktiert und über den Betrugsversuch informiert. In der Regel deaktivieren Dienstleister solche Websites nach begründeten Hinweisen innerhalb weniger Tage. Da das erneute Aufsetzen derartiger Websites für Angreifer keine große technische Herausforderung darstellt, empfiehlt die IHK-GfI den Mitgliedsunternehmen der IHKs weiterhin eine dauerhaft hohe Wachsamkeit für Phishing-E-Mails, Social-Engineering- und weitere Betrugsversuche.

Sie haben eine E-Mail an Empfänger und Empfängerinnen in unserem Netzwerk geschickt, welche aber auf Grund der SPF Überprüfung abgelehnt wurde. Das heißt, dass Sie für Ihre Domain einen entsprechenden SPF Eintrag für autorisierte Versender und Versenderinnen von E-Mails gesetzt haben. Die abgelehnte E-Mail kam jedoch von einem System, welches dort nicht berücksichtigt wurde. Bitte wenden Sie sich an Ihren Domain-Administrator, um Ihren SPF-Record entsprechend zu aktualisieren. 

E-Mail Absender- und Absenderinnenadressen sind wie die Absender- und Absenderinnenadressen auf Briefen. De*die Verfasser*in wählt selbst, welche Absender- und Absenderinnenadresse er versendet. Eine Prüfung findet nicht statt. Daher kann jeder*e Briefe wie auch E-Mails im Namen beliebiger Personen versenden. In der Regel sorgen die E-Mail Server der Absender und Absenderinnen dafür, dass nur im Unternehmen vorhandene E-Mail Adressen als Absender*innen verwendet werden können. Der*die Empfänger*in kann die Korrektheit der Absender*innen jedoch in der Regel nicht überprüfen.

Gefälschte E-Mail Adressen werden entweder eingesetzt, um anonym zu bleiben oder einen seriösen Eindruck zu erwecken. Droh-E-Mails sind meistens offensichtlich nicht von legitimen Besitzer und Besitzerinnen der E-Mail Adresse verfasst worden. Sie missbrauchen seriöse E-Mail Adressen lediglich zur Umgehung von Spam-Filtern für eine zuverlässigere Zustellung. Betrügerische E-Mails versuchen mit den gefälschten Adressen hingegen den Eindruck zu erwecken, relevante Informationen der vermeintlichen Absender und Absenderinnen zu enthalten. Sie enthalten in der Regel die Aufforderung, Informationen preiszugeben, Rechnungskonten zu ändern, Überweisungen zu veranlassen, E-Mail Anhänge oder Web-Links zu öffnen (welche Schadsoftware installieren) oder andere Aktionen zu veranlassen, die Betrüger und Betrügerinnen nutzen.

Manche E-Mails stammen offensichtlich nicht von behaupteten Absender und Absenderinnen, da in ihnen kein Bezug zu Inhaber und Inhaberinnen der E-Mail Adresse oder dem Unternehmen genommen wird. Betrügerische E-Mails mit gefälschter Identität folgen jedoch oft einem einfachen Muster. Sie versuchen zunächst Vertrauen aufzubauen ("Hallo, wir kennen uns doch..."). Dabei werden oft öffentlich verfügbare Informationen aus sozialen Medien verwendet, um die Behauptung zu unterstützen. In der Folge werden dann wahlweise interne Informationen angefragt, Angebote oder Rechnungen übermittelt (oft mit Schadsoftware versehen) oder zum Besuch einer Webseite aufgefordert, von der entweder Schadsoftware ausgeliefert oder ein Passwort abgefragt wird.