Hier habe ich ein Beispiel für einen Phishing-Angriff, der mir so noch nicht untergekommen ist. Eine E-Mail behauptet, jemand habe die Facebook-Seite gemeldet.
Die Mail sieht wie folgt aus:
Huch, was mag da passiert sein? Man ist versucht, reflexhaft auf den grünen Knopf zu tippen. Aber schauen wir mal genauer hin.
- Die Mailadresse gehört zur Domäne „facebook.de“. Facebook nutzt aber .com. Facebook.de, wenn man es im Browser aufruft, leitet auf die com weiter. Für sich genommen muss das noch nicht viel heißen, aber wenn man in den Quelltext der Mail schaut, sieht man, dass im Feld Message ID eine Domäne @enricoceliberti.it eingetragen ist. Der Absendereintrag ist also gefälscht.
- Der Link hinter dem Begriff „Facebook-Seite“ sowie hinter dem grünen Knopf besteht aus einer Kurzform-URL: https://cutt.ly/xxxxxxx, wobei die Xe für einen Code stehen.
- Perfiderweise führt der Link hinter dem Namen der Person tatsächlich auf ein Facebook-Profil, aber ein völlig inhaltsfreies.
- Facebook Ireland Ltd. heißt jetzt Meta Ireland Ltd. Aber OK, das kann Nachlässigkeit sein.
Ich habe den Kurzlink mal in einem separaten Browser geöffnet, und natürlich findet man sich dann auf einer Webseite wieder, die vorgibt, ein Facebook-Login zu sein:
Wie man an der URL oben erkennen kann, befinden wir uns nun keineswegs auf facebook.com, sondern auf arezda.id. Es handelt sich also offensichtlich um einen gefälschten Facebook-Login. Wer seine Daten hier eingibt, kann sich von seinem Konto verabschieden und anschließend behaupten: „ich wurde gehackt“. Tatsächlich ist man aber auf eine Social-Engineering-Falle hereingefallen, weil man entweder nicht aufmerksam genug oder zu ahnungslos war.
Update am 6.6.2022: Heute habe ich eine weitere Variante dieser Mail erhalten, der Melder ist jetzt Markus Frommelt, der gefälschte Absender ist info @facebook.at und die Links führen nun auf eine Website lpduk. id/seiten/gemeldet/.
Auch aktive Zwei-Faktor-Authentifizierung schützt nicht unbedingt vor dieser Form des Phishings. Es kommt darauf an, wie gut der Angriff automatisiert wurde. Die gezeigte Seite ist zwar kein echter Facebook-Login, aber wenn die dort eingegebenen Daten umgehend für einen echten Facebook-Login benutzt werden und Sie dann die Anmeldungswarnung auf dem Handy erhalten, dann schauen Sie vielleicht nicht genau hin (Jemand in der Nähe von Rom hat sich angemeldet, Waren Sie das?) und bestätigen. Schließlich glauben Sie ja, sich angemeldet zu haben.
E-Mail-Meldungen dieser Art sollte man niemals vertrauen. Selbst wenn sie echt wäre: ich muss doch gar nicht auf den Link klicken, ich kann doch einfach auf gewohnte Weise wie sonst auch Facebook als App oder im Browser öffnen und dort nachschauen, ob die Meldung dort auch existiert. Das tut sie in diesem Fall natürlich nicht.
Fazit: Klicke niemals auf Links in E-Mails, vor allem dann, wenn sie Druck ausüben.
Danke für den hilfreichen Blog.
Auch ich habe auf meine Accounts eine Meldung erhalten – Ziel war die Adresse: goaiohost.in
Leider habe ich, aus Informationsinteresse (bevor ich Ihren Blog gelesen habe) darauf geklickt – da es sich um einen Firmenaccount handelt. Ich wollte prüfen ob evtl. ein Beitrag auf der Seite für Aufsehen sorgt. Dem war natürlich nicht so ;(
Sofort alle Passwörter geändert und Zwei-Stufen-Identifizierung aktiviert.
Nochmals Danke für den hilfreichen Beitrag.
Wir haben heute auch so eine Mail bekommen, im Business Manager finden sich aber keine Infos zu gemeldeten Beiträgen oder Seiten. Der Link führt bei uns zu https://m3msector128.com/76543243567t6rfd/ – ist aber mittlerweile auch als Pishing-Seite eingestuft in Mozialla und Chrome.
Gleiche Mail erhalten. Nur anderer Name und anderes Profile. Der Link führte hier auch auf eine andere Seite web3-medical
Im ersten Moment war ich tatsächlich etwas erschrocken.
Hab das auch gerade bekommen. Nachdem ich so selten E-Mails von Facebook kriege, hätte ich fast am Handy draufgeklickt. Nur weil die Mail so minimalistisch aussieht und nichts zu meiner Seite enthält, wurde ich etwas misstrauisch kurz bevor der Finger auf dem Display lag und habe es am PC untersucht.
Für andere Suchmaschinenrecherchierer: Mein Spam-Betreff lautete Matthias Rettenwender hat Ihre Facebook-Seite gemeldet.
Genau diese hatte ich heute auch schon wieder im Posteingang.
Inzwischen sind die falschen Seiten auf „Meta“ umgestellt.