E-Mail-Betrug mit Benachrichtigungen über E-Mail-Kontingente

Phishing ist nach wie vor eine der effektivsten Methoden, mit denen Angreifer ahnungslose Nutzer täuschen. Eine solche Masche ist beispielsweise der Betrug mit der „E-Mail-Kontingentbenachrichtigung“. Dabei handelt es sich um eine Phishing-Kampagne, die Nutzer unter dem Vorwand einer Warnung vor einem vollen Posteingang dazu bringt, vertrauliche Anmeldedaten preiszugeben.

Der Betrug entfaltet sich: So funktioniert die Falle

Die betrügerischen E-Mails werden typischerweise mit alarmierenden Betreffzeilen wie „WICHTIG!! E-Mail-Kontingent“ versendet. In diesen Nachrichten wird fälschlicherweise behauptet, der E-Mail-Speicher des Empfängers sei fast voll (oft wird eine Auslastung von 99 % angegeben) und zum sofortigen Handeln aufgefordert, um eine Dienstunterbrechung zu vermeiden. Anschließend werden die Benutzer aufgefordert, auf eine Schaltfläche mit der Aufschrift „E-Mail-Kontingent erhöhen“ zu klicken.

Dieser Button führt jedoch nicht zu einer legitimen Serviceseite. Stattdessen werden die Opfer auf eine bösartige Phishing-Website umgeleitet, die eine echte E-Mail-Anmeldeseite imitiert. Alle hier eingegebenen Anmeldedaten werden von Cyberkriminellen abgegriffen und für den unbefugten Zugriff auf die E-Mails und die damit verbundenen Konten des Opfers verwendet.

Es ist wichtig zu verstehen, dass diese E-Mails, auch wenn sie noch so überzeugend erscheinen, keinerlei Verbindung zu echten Dienstanbietern, Unternehmen oder Organisationen haben.

Warum E-Mail-Konten die Hauptziele sind

E-Mail-Konten sind aufgrund der sensiblen und vernetzten Inhalte wertvolle Ressourcen für Cyberkriminelle. Mit Zugriff auf ein E-Mail-Postfach können Betrüger andere verknüpfte Dienste und Plattformen ausnutzen. Ein kompromittiertes Konto kann für folgende Zwecke verwendet werden:

• Zurücksetzen von Passwörtern und Entführen anderer Online-Konten.
• Zugriff auf Bank-, E-Commerce- oder Finanzplattformen für betrügerische Transaktionen.
• Sich als Eigentümer ausgeben, um Geld anzufordern, Betrug zu verbreiten oder Schadsoftware zu verteilen.
• Sammeln privater Daten zum Zwecke des Identitätsdiebstahls oder der Erpressung.

Aus diesem Grund stellen Phishing-Kampagnen wie der Betrug mit E-Mail-Kontingentbenachrichtigungen eine so weit verbreitete und schädliche Bedrohung für Einzelpersonen und Organisationen dar.

Taktiken zum Anlocken und Infizieren von Benutzern

Phishing-E-Mails sind nicht die einzige Waffe im Arsenal der Angreifer. Betrugskampagnen enthalten oft mit Malware infizierte Anhänge oder Links, um ahnungslose Empfänger auszunutzen. Zu den bei diesen Angriffen häufig verwendeten Dateitypen gehören:

• Ausführbare Dateien (.exe, .run).
• Komprimierte Archive (.zip, .rar).

• Dokumente (Microsoft Word, Excel, PDF, OneNote).

• Skripte (JavaScript-Dateien).

Das Öffnen einer solchen Datei kann je nach Format sofort eine schädliche Nutzlast aktivieren. Andere erfordern möglicherweise zusätzliche Schritte, wie das Aktivieren von Makros oder das Anklicken eingebetteter Elemente. Diese Interaktionen können zu Infektionen führen, die von Spyware und Keyloggern bis hin zu Ransomware oder Banking-Trojanern reichen.

Sicherheit: Best Practices für E-Mail-Sicherheit

Angesichts der Raffinesse dieser Phishing-Betrügereien ist ein sorgfältiger Umgang mit E-Mails unerlässlich. Benutzer sollten bei unerwarteten oder verdächtigen Nachrichten besonders vorsichtig sein, selbst wenn sie scheinbar von bekannten Kontakten stammen. Hier sind die wichtigsten Vorsichtsmaßnahmen:

• Überprüfen Sie immer E-Mail-Absender und Domänennamen, bevor Sie auf Links klicken oder Anhänge öffnen.
• Vermeiden Sie die Interaktion mit dringenden Anfragen oder Panikmache, bei denen Sie nach Logins oder persönlichen Daten gefragt werden.
• Aktivieren Sie keine Makros und interagieren Sie nicht mit eingebetteten Dateien, es sei denn, Sie sind sich der Quelle sicher.
• Verwenden Sie die Multi-Faktor-Authentifizierung (MFA), um den Zugriff auf Ihre Konten zu schützen.
• Halten Sie die Sicherheitssoftware auf dem neuesten Stand und führen Sie regelmäßige Scans durch.

Abschließende Gedanken

Der Betrug mit E-Mail-Kontingentbenachrichtigungen zeigt, wie weit Cyberkriminelle gehen, um Informationen zu stehlen und digitale Identitäten auszunutzen. Auch wenn die Nachrichten dringend und glaubwürdig erscheinen, sollten Sie bedenken, dass seriöse Dienstanbieter niemals per E-Mail nach Ihren Anmeldedaten fragen. Diese Taktiken zu erkennen und vorsichtig zu reagieren, ist Ihre beste Verteidigung gegen Phishing und Identitätsdiebstahl.