Mir ist eine mysteriöse Phishing-Kampagne aufgefallen, die derzeit womöglich versucht, an Kunden-Logins von Empfängern von Sendungen des Speditionsunternehmens Maersk zu gelangen. Welchem weiteren Zweck diese Kampagne schlussendlich dient, kann ich zurzeit nicht erkennen.
Es beginnt mit einer E-Mail, die in englischer Sprache angibt, von einem gewissen Raymond Ziegler zu sein und Versanddokumente der Firma Maersk Shipping Line zu enthalten:
Maersk Phishing E-Mail
Die Empfänger-E-Mailadresse wird innerhalb der E-Mail als Anrede verwendet und auch noch einmal wiederholt. Die E-Mail sieht einigermaßen authentisch aus, allerdings fällt die Antwortadresse „email hidden; JavaScript is required“ durchaus negativ auf: erste Alarmglocken schrillen.
Der Anhang ist eine PDF-Datei, die den Eindruck erwecken soll, verschlüsselt zu sein:
„Gesichertes“ PDF-Dokument als Anhang der Maersk-Phishing-Mail
Es handelt sich vermutlich um ein ursprünglich echtes Dokument von Maersk, welches gescannt und mit Filtern unkenntlich gemacht wurde. Darauf wurde ein weiteres Grafikelement gelegt, das behauptet, es handele sich um ein gesichertes PDF Dokument, das durch einen Klick geöffnet werden könne. Es ist im Prinzip nur ein Bild im Umschlag einer PDF-Datei, nichts ist hier wirklich verschlüsselt. Tatsächlich ist das PDF so angelegt, dass ein Klick darauf eine Webseite öffnet, die allerdings nichts mit Maersk zu tun zu haben scheint, wenn man sich ihre Adresse ansieht: http:/ /impexawards .com / linyor / 0 /
Öffnen Sie diese Adresse nicht in Ihrem eigenen Browser! Ich habe sie hier absichtlich mit zusätzlichen Leerzeichen versehen, damit sie nicht funktioniert.
Die Webseite selbst sieht, von der Adresse abgesehen, sehr professionell aus und hat sogar einen bewegten Slider für den Hintergrund:
Maersk Phishing Webseite
Ich habe nicht den Eindruck, dass es sich um einen Nachbau eines legitimen Maersk-Logins handelt, deren Loginseiten sehen anders aus. An dieser Stelle kommt man mit ausgedachten E-Mail-Daten nicht weiter, das System scheint sich im Hintergrund wirklich bei Maersk anmelden zu wollen und meldet dann einen Fehler. Ich muss daher annehmen, dass es sich hier um einen Versuch handelt, an echte Maersk-Zugangsdaten zu kommen. Diese können dann höchstwahrscheinlich auf die eine oder andere Weise missbraucht werden.
Diese Phishing-Masche lässt sich natürlich auch auf viele andere Branchen und Firmen übertragen, insofern ist es wichtig, den Ablauf des Angriffs insgesamt zu betrachten und solche Warnzeichen wie seltsame E-Mail-Adressen und Internet-Links zu verinnerlichen und bei jeder E-Mail aktiv danach Ausschau zu halten.
War dieser Beitrag für Sie nützlich? [thumbs-rating-buttons]
Vielen Dank für die Informationen,
ich bekomme seit Tagen immer wieder diese E-Mails und trotzdem ich diese als Phishing melde kommen diese immer zu. Hier: stuartkingsley @maerskline . com
„Dear Customer,
Please find below attached the bill of lading (BL), Packing List and COA for the new shipment headed to your port as requested by your shipping agent….“ und Anhang, den ich nicht öffne.
Vielen Dank für die Informationen,
ich bekomme seit Tagen immer wieder diese E-Mails und trotzdem ich diese als Phishing melde kommen diese immer zu. Hier: stuartkingsley @maerskline . com
„Dear Customer,
Please find below attached the bill of lading (BL), Packing List and COA for the new shipment headed to your port as requested by your shipping agent….“ und Anhang, den ich nicht öffne.