Warnung vor Spear-Phishing – Betrug “iTunes/GooglePlay-Karte” / CEO-Fraud “mini”
Warnung vor betrügerischen E-mails mit gefälschtem Absender
Dem Gauß-IT-Zentrum wurden in den letzten Tagen mehrfach betrügerische E-Mails gemeldet.
Die Mails stammen scheinbar jeweils von einem real existierende Vorgesetzten an der TU, sind aber natürlich gefälscht.
Zu erkennen sind die Mails daran, dass die Absender-Adresse auf “my.com” endet. Die Mails kommen auch tatsächlich von dem Mail-Anbieter “my.com”.
Vorangestellt sind der Name der vorgesetzten Person und ein Versuch, die Herkunft zu verschleiern.
Dazu wird ein Absender
E-Mail-des-angeblichen-Absenders-tu-braunschweig.de@my.com
verwendet. Dies ist natürlich keine gültige Adresse der TU Braunschweig!
Der Ablauf ist folgender:
- Eingang einer Mail, angeblich aus einer Besprechung heraus, mit der Bitte um Antwort – per E-Mail.
- Sofern eine Antwort erfolgt, wird darum gebeten, drei iTunes-Karte für je 100€ zu kaufen und die Codes zu übermitteln, das Geld würde beim nächsten Treffen erstattet.
Antworten Sie nicht auf diese E-Mails!
Weiterer Schadcode ist glücklicherweise nicht enthalten, es geht dem Betrüger ganz offensichtlich “nur” um das schnelle Geld.
Update 27.01.2020
Inzwischen wurde die Masche abgewandelt: es werden jetzt GooglePlay Karten gefordert.
Hier eins der uns gemeldeten Beispiele:
Die Mail kam angeblich vom Professer, dieser hat die Mitarbeitet um das Besorgen von Googleplay-Giftcards im Wert von insg. 600€ gebeten, weil er keine Zeit dafür habe. Die Mitarbeiter sollten ihm die PINS dann als Foto per Mail schicken:
I need you to purchase physical cards from the nearest store. You’re to purchase 6 qty of Google play gift cards with €100.00 on each card (total €600.00) When purchased, Kindly scratch off the cards PIN panel to reveal the code and take a snapshot of the cards and send to me on here and keep the physical cards and receipt for reference purpose. Get back to me as soon as possible.
ThanksDabei kam es auch zu einer kurzen Konversation zwischen einem Mitarbeiter und dem angeblichen Professor. Daraus würde ich folgern, dass das nicht unbedingt ein Random–Phishing-Angriff war, da der Angreifer auch direkt auf die Rückfragen des Mitarbeiters eingegangen ist.
Hier ein detaillierteres Beispiel:
Stufe 1
Von: Angeblicher Name <angeblicher-Absender-tu-braunschweig@my.com>
Gesendet: Dienstag, …
An: Opfer@tu-braunschweig.de
Betreff: HalloStehen sie gerade zur verfügung?
—
Freundliche Grüße,
<angeblicher Absender>
Stufe 2
Von: Angeblicher Name <angeblicher-Absender-tu-braunschweig@my.com>
Gesendet: Dienstag, …
An: Name des Opfers < opfer@tu-braunschweig.de>
Betreff: Re: AW: HalloIch bin gerade in einer Besprechung und ich möchte, dass Sie mir
sofort bei etwas sehr Wichtigem und Dringendem helfen. Ich hätte Sie
direkt anrufen sollen, aber ein Anruf ist nicht erlaubt und ich weiß
nicht, wann die Besprechung zu Ende geht. Aus diesem Grund
kontaktiere ich Sie hier.
—
Freundliche Grüße,
angeblicher Absender
Stufe 3
Von: Angeblicher Name <angeblicher-Absender-tu-braunschweig@my.com>
Gesendet: Dienstag, …
An: Name des Opfers < opfer@tu-braunschweig.de>
Betreff: Re: AW: AW: HalloKannst du mir helfen, eine iTunes-Karte aus dem Laden zu holen und
sie mir hier zuzusenden? Ich werde es dir erstatten.
—
Freundliche Grüße,
Thomas Vietor
Stufe 4
Von: Angeblicher Name <angeblicher-Absender-tu-braunschweig@my.com>
Gesendet: Dienstag, …
An: Name des Opfers < opfer@tu-braunschweig.de>
Betreff: Re: AW: AW: AW: HalloIch benötige nur 100 € in 3 Teilen. Ich benötige eine physische
Karte, nachdem Sie die Rückseite zerkratzt und das Bild aufgenommen
haben. Hängen Sie es an diese Mail.
—
Freundliche Grüße,
angeblicher Absender
Stufe 5 (bei weiterer Nachfrage)
Von: Angeblicher Name <angeblicher-Absender-tu-braunschweig@my.com>
okay, 100 € in 3 Teil werden insgesamt 300 € sein
—
Freundliche Grüße,
angeblicher Absender
Mindestens bei Stufe 5 greift offensichtlich ein Mensch auf der Betrügerseite ein. Der Anfang wird vermutlich automatisiert durchgeführt.