Hier habe ich ein Beispiel für einen Phishing-Angriff, der mir so noch nicht untergekommen ist. Eine E-Mail behauptet, jemand habe die Facebook-Seite gemeldet.

Die Mail sieht wie folgt aus:

Phishing Mail: "Albrecht Dominik hat Ihre Facebook-Seite gemeldet"
Phishing Mail: „Albrecht Dominik hat Ihre Facebook-Seite gemeldet“

Huch, was mag da passiert sein? Man ist versucht, reflexhaft auf den grünen Knopf zu tippen. Aber schauen wir mal genauer hin.

  • Die Mailadresse gehört zur Domäne „facebook.de“. Facebook nutzt aber .com. Facebook.de, wenn man es im Browser aufruft, leitet auf die com weiter. Für sich genommen muss das noch nicht viel heißen, aber wenn man in den Quelltext der Mail schaut, sieht man, dass im Feld Message ID eine Domäne @enricoceliberti.it eingetragen ist. Der Absendereintrag ist also gefälscht.
  • Der Link hinter dem Begriff „Facebook-Seite“ sowie hinter dem grünen Knopf besteht aus einer Kurzform-URL: https://cutt.ly/xxxxxxx, wobei die Xe für einen Code stehen.
  • Perfiderweise führt der Link hinter dem Namen der Person tatsächlich auf ein Facebook-Profil, aber ein völlig inhaltsfreies.
  • Facebook Ireland Ltd. heißt jetzt Meta Ireland Ltd. Aber OK, das kann Nachlässigkeit sein.

Ich habe den Kurzlink mal in einem separaten Browser geöffnet, und natürlich findet man sich dann auf einer Webseite wieder, die vorgibt, ein Facebook-Login zu sein:

arezda.id ist nicht Facebook. Offensichtlich eine Phishing-Seite, die Logindaten für Facebook stehlen soll.
arezda.id, nicht Facebook. Wer sich hier einloggt, verliert sein Konto.

Wie man an der URL oben erkennen kann, befinden wir uns nun keineswegs auf facebook.com, sondern auf arezda.id. Es handelt sich also offensichtlich um einen gefälschten Facebook-Login. Wer seine Daten hier eingibt, kann sich von seinem Konto verabschieden und anschließend behaupten: „ich wurde gehackt“. Tatsächlich ist man aber auf eine Social-Engineering-Falle hereingefallen, weil man entweder nicht aufmerksam genug oder zu ahnungslos war.

Update am 6.6.2022: Heute habe ich eine weitere Variante dieser Mail erhalten, der Melder ist jetzt Markus Frommelt, der gefälschte Absender ist info @facebook.at und die Links führen nun auf eine Website lpduk. id/seiten/gemeldet/.

Auch aktive Zwei-Faktor-Authentifizierung schützt nicht unbedingt vor dieser Form des Phishings. Es kommt darauf an, wie gut der Angriff automatisiert wurde. Die gezeigte Seite ist zwar kein echter Facebook-Login, aber wenn die dort eingegebenen Daten umgehend für einen echten Facebook-Login benutzt werden und Sie dann die Anmeldungswarnung auf dem Handy erhalten, dann schauen Sie vielleicht nicht genau hin (Jemand in der Nähe von Rom hat sich angemeldet, Waren Sie das?) und bestätigen. Schließlich glauben Sie ja, sich angemeldet zu haben.

E-Mail-Meldungen dieser Art sollte man niemals vertrauen. Selbst wenn sie echt wäre: ich muss doch gar nicht auf den Link klicken, ich kann doch einfach auf gewohnte Weise wie sonst auch Facebook als App oder im Browser öffnen und dort nachschauen, ob die Meldung dort auch existiert. Das tut sie in diesem Fall natürlich nicht.

Fazit: Klicke niemals auf Links in E-Mails, vor allem dann, wenn sie Druck ausüben.

3 Kommentare

  1. Hab das auch gerade bekommen. Nachdem ich so selten E-Mails von Facebook kriege, hätte ich fast am Handy draufgeklickt. Nur weil die Mail so minimalistisch aussieht und nichts zu meiner Seite enthält, wurde ich etwas misstrauisch kurz bevor der Finger auf dem Display lag und habe es am PC untersucht.

    Für andere Suchmaschinenrecherchierer: Mein Spam-Betreff lautete Matthias Rettenwender hat Ihre Facebook-Seite gemeldet.

    Chris

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert