E-Mail-Betrugsversuch: E-Kontoauszug der US-Sozialversicherungsbehörde verfügbar

Cyberkriminelle nutzen häufig täuschend echt wirkende E-Mail-Kampagnen, um Empfänger dazu zu verleiten, schädliche Dateien zu öffnen, sensible Daten preiszugeben oder Malware zu installieren. Daher ist es unerlässlich, bei unerwarteten E-Mails stets vorsichtig zu sein, insbesondere wenn diese angeblich wichtige Dokumente oder dringende Benachrichtigungen enthalten. E-Mails mit dem Betreff „Social Security Administration eStatement Is Available“ sind ein Paradebeispiel für diese Taktik. Diese Nachrichten sind betrügerisch und stehen in keiner Verbindung zu seriösen Unternehmen, Organisationen, Regierungsbehörden oder anderen Institutionen. Ihr einziger Zweck ist es, die Geräte der Opfer zu infizieren und Angreifern unbefugten Zugriff zu verschaffen.

Ein genauerer Blick auf den Betrug

Die Analyse der E-Mails mit dem Betreff „Sozialversicherungsbescheid verfügbar“ hat ergeben, dass sie Teil einer betrügerischen Spam-Kampagne sind, die sich als Sozialversicherungsbehörde (SSA) ausgibt. Die E-Mails informieren die Empfänger fälschlicherweise darüber, dass ihr Sozialversicherungsbescheid für 2026 zum Download bereitsteht.

Um die Nachricht authentisch erscheinen zu lassen, fügen die Betrüger Details wie eine Referenz-ID, ein Datum und einen prominent platzierten Button „Elektronischen Kontoauszug herunterladen“ ein. Diese Elemente sollen ein Gefühl der Legitimität erzeugen und die Empfänger dazu bringen, der E-Mail zu vertrauen. Die echte US-Sozialversicherungsbehörde (Social Security Administration) hat jedoch keinerlei Verbindung zu diesen Nachrichten.

Ziel der Kampagne ist es, die Empfänger dazu zu verleiten, auf den bereitgestellten Button zu klicken, wodurch die nächste Phase des Angriffs eingeleitet wird.

Das gefälschte Verifizierungsportal

Empfänger, die auf den Download-Button klicken, werden auf eine betrügerische Webseite weitergeleitet, die einer offiziellen Seite der Sozialversicherungsbehörde (SSA) täuschend ähnlich sieht. Dort angekommen, erscheint die Meldung „Identitätsprüfung erforderlich“ und sie werden aufgefordert, einen Schieberegler zu betätigen, um den Download des Dokuments zu starten.

Anstatt eine Sozialversicherungsbestätigung bereitzustellen, lädt die Website automatisch eine Datei namens „ScreenConnect.ClientSetup.msi“ auf das Gerät des Besuchers herunter. Zudem wird ein Hinweis angezeigt, dass die Dokumente nur über Windows-Computer zugänglich sind. Diese Einschränkung ist beabsichtigt, da sie Angreifern hilft, Windows-Nutzer gezielt anzugreifen und die Wahrscheinlichkeit erhöht, dass das Schadprogramm ordnungsgemäß funktioniert.

Der Verifizierungsprozess dient keinem legitimen Zweck und existiert einzig und allein, um den Download vertrauenswürdig erscheinen zu lassen.

Funktionsweise des Schadprogramms

Die heruntergeladene Datei enthält eine modifizierte Version von ScreenConnect, auch bekannt als ConnectWise Control. Normalerweise ist ScreenConnect ein legitimes Fernwartungs- und Support-Tool, das von IT-Fachleuten und Unternehmen häufig eingesetzt wird.

Bei dieser Kampagne wurde die Software jedoch so verändert und konfiguriert, dass sie unbemerkt eine Verbindung zu Servern herstellt, die von den Angreifern kontrolliert werden. Nach Installation und Ausführung gewährt die infizierte Anwendung den Angreifern unbeaufsichtigten Fernzugriff auf das kompromittierte System.

Diese Zugriffsebene ermöglicht es Angreifern, eine Vielzahl von schädlichen Aktivitäten durchzuführen, ohne dass das Opfer davon Kenntnis hat.

Die Gefahren der Kompromittierung von Fernsystemen

Wenn Angreifer durch Schadsoftware Fernzugriff erlangen, können die Folgen schwerwiegend sein. Sie sind möglicherweise in der Lage:

• Überwachen Sie die Aktivitäten des Opfers und beobachten Sie alles, was auf dem Bildschirm angezeigt wird.
• Dokumente, Zugangsdaten, Bankinformationen und andere sensible Daten stehlen.
• Installieren Sie zusätzliche Schadsoftware, einschließlich Ransomware, Spyware oder Bedrohungen zum Diebstahl von Informationen.
• Dateien und Systemeinstellungen bearbeiten.
• Unautorisierte Finanztransaktionen durchführen oder kompromittierte Online-Konten missbrauchen.

Jeder Computer, auf dem das schädliche Installationsprogramm von ScreenConnect ausgeführt wurde, gilt als vollständig kompromittiert. Sofortige Maßnahmen zur Eindämmung des Vorfalls sind erforderlich, um die Bedrohung zu stoppen und weiteren Schaden zu verhindern.

Wie Spam-E-Mails Schadsoftware verbreiten

Die Kampagne „Social Security Administration eStatement Is Available“ veranschaulicht eine gängige Strategie von Cyberkriminellen zur Verbreitung von Schadsoftware. Bösartige Spam-E-Mails verbreiten Schadsoftware in der Regel über Anhänge oder eingebettete Links.

Anhänge können in verschiedenen Formaten eintreffen, darunter Microsoft Office-Dokumente, PDF-Dateien, ZIP-Archive, ausführbare Dateien und Skripte. Manche Schadsoftware-Infektionen beginnen sofort nach dem Öffnen der Datei, während andere die Aktivierung von Makros oder zusätzliche Aktionen durch die Empfänger erfordern.

Ebenso leiten schädliche Links Nutzer häufig auf Webseiten weiter, die als sichere Dokumentenportale, Verifizierungsdienste oder Downloadseiten getarnt sind. Diese Seiten sind darauf ausgelegt, Besucher zum Herunterladen und Ausführen schädlicher Dateien zu verleiten. In manchen Fällen starten die Downloads automatisch, in anderen Fällen werden Social-Engineering-Techniken eingesetzt, um die Opfer dazu zu bringen, die Schadsoftware selbst auszuführen.

Die Warnsignale erkennen

Mehrere Merkmale können helfen, Betrugsfälle dieser Art zu erkennen:

• Unerwartete E-Mails, in denen behauptet wird, dass wichtige Regierungs-, Finanz- oder Rechtsdokumente zum sofortigen Download bereitstehen.

• Botschaften, die Dringlichkeit erzeugen oder zu schnellem Handeln auffordern, ohne unabhängige Überprüfung.

• Links führen zu Verifizierungsseiten, bevor der Zugriff auf das vermeintliche Dokument gewährt wird.

• Anfragen zum Herunterladen von Software, um Dokumente einzusehen oder Verifizierungsverfahren abzuschließen.

• Ungewöhnliche Einschränkungen, wie etwa die Behauptung, dass auf Inhalte nur von bestimmten Betriebssystemen oder Geräten aus zugegriffen werden kann.

Das Erkennen dieser Indikatoren kann dazu beitragen, eine versehentliche Exposition gegenüber Malware und anderen Cyberbedrohungen zu verhindern.

Abschlussbewertung

Die E-Mail-Kampagne „Social Security Administration eStatement Is Available“ ist eine gefährliche Malware-Verbreitungsmethode, die sich als Social Security Administration ausgibt, um das Vertrauen der Opfer zu gewinnen. Anstatt einen Jahresauszug zu versenden, leitet die Betrugsmasche die Empfänger auf ein gefälschtes Verifizierungsportal weiter, das einen mit einem Trojaner infizierten ScreenConnect-Installer herunterlädt.

Nach der Ausführung gewährt die Schadsoftware Angreifern Fernzugriff auf das betroffene System, was potenziell zu Datendiebstahl, Kontoübernahme, finanziellen Verlusten und weiteren Malware-Infektionen führen kann. Empfänger solcher E-Mails sollten diese umgehend löschen und keine darin enthaltenen Links anklicken oder Dateien herunterladen.