Neue Betrugs-E-Mails im Umlauf
Cyber-Kriminelle geben sich unter anderem als spanische Steuerbehörde AEAT aus
Madrid – ds. Das spanische Nationale Institut für Cybersicherheit (Incibe) warnt vor einer neuen Phishing-Kampagne, bei der sich Cyber-Kriminelle als die spanische Steuerbehörde (AEAT) oder als die nationale Münzanstalt (FNMT) ausgeben.
Allgemein wird Phishing als eine Technik bezeichnet, die darin besteht, dass Cyber-Kriminelle eine E-Mail an einen Benutzer senden, in der sie vorgeben, eine legitime Einrichtung zu sein (soziales Netzwerk, Bank, öffentliche Einrichtung usw.), mit dem Ziel, private Informationen zu stehlen, an Kontodaten zu gelangen, um Belastungen vorzunehmen oder um das Gerät zu infizieren. Zu diesem Zweck fügen sie der E-Mail infizierte Dateien oder Links zu Pishing-Webseiten bei. Einem Bericht des Sicherheitsunternehmens Kaspersky zufolge war Spanien im Jahr 2021 mit einem Anteil von 9,32 Prozent Hauptziel krimineller E-Mail-Kampagnen.
Bei der aktuellen Pishing-Kampagne lauten die Betreffzeilen der E-Mails wie folgt: „AEAT- Aviso de Notificación“oder „Caducidad de tu Certificado FNMT“. Ähnliche Betreffzeilen sind möglich. In der Nachricht werden die Nutzer aufgefordert, einen .rar-Dateianhang herunterzuladen – der die Malware, einen Stealer namens „GuLoader/Agent Tesla“enthält – und auf verschiedene Links zu klicken, um angeblich auf die Benachrichtigung zuzugreifen oder den Status des digitalen Zertifikats zu erneuern oder zu überprüfen.
In beiden Fällen besteht beim Herunterladen der Anhänge und beim Ausführen ihres Inhalts die Gefahr, dass das Gerät mit der Malware infiziert wird.
Dringlicher Inhalt
Der Inhalt der Mails liest sich dringlich. Damit wollen die CyberKriminelle den betroffenen Empfänger zum Handeln bewegen.
Im Fall der Steuerbehörde AEAT ist von einer Mitteilung (notificación) die Rede, auf die innerhalb einer festgelegten Frist zugegriffen werden muss. Andernfalls wird mit Maßnahmen „in Übereinstimmung mit den Rechtsvorschriften“gedroht, auf die aber nicht näher eingegangen wird. Klickt der Empfänger auf den Link, der zu der angeblichen Mitteilung führt oder den Anhang, lädt sich automatisch eine Datei mit dem Namen „AEATAvisodeNotificación.rar“oder „AgenciaTributaria.rar“ herunter, die, wenn sie durch Anklicken geöffnet wird, die Malware installiert.
Der FNMT-Betrug hingegen täuscht vor, dass ein FNMT-Zertifikat in Kürze abläuft und dass für eine Erneuerung der Nutzer auf die Sede Electrónica der FNMT zugreifen muss. Dafür wird ein Link angegeben, der angeblich zu der Sede Electrónica-Webseite führt. In Wirklichkeit aber führt er den Internetnutzer zum Herunterladen einer Datei namens „CertificadoFNMT.rar“, die, wie im Fall der Steuerbehörde, beim Anklicken das Gerät mit dem Trojaner infiziert.
Wie kann man sich vor einem Phishing schützen? – Incibe rät: „Wenn Sie eine E-Mail mit den oben genannten Merkmalen erhalten haben, aber weder einen Anhang heruntergeladen noch mit der Angabe persönlicher Daten geantwortet haben, markieren Sie sie als Spam und löschen Sie sie aus Ihrem Postfach“.
Für den Fall, dass der Empfänger die Datei heruntergeladen, aber nicht geöffnet hat, soll die Datei „sowohl aus dem Download-Ordner als auch aus dem Papierkorb“gelöscht werden.
Falls die Malware versehentlich geöffnet wird, empfiehlt das Nationale
Institut für Cybersicherheit, folgendes zu tun:
=Das Gerät, das zum Herunterladen der Datei verwendet wurde vom Heimnetzwerk trennen, um zu verhindern, dass die Malware sich auf andere Geräte ausbreitet.
=Alle offenen Fenster beziehungsweise Programme schließen.
=Das Passwort ändern sowie die Zwei-Faktor-Authentifizierung (2FA) anwenden.
Mit einer installierten Antiviren-Software
einen vollständigen Scan des betroffenen Geräts durchführen, um alle Bedrohungen zu entfernen, falls möglich.
=Wer befürchtet, dass das Gerät immer noch infiziert sein könnte, kann in Erwägung ziehen, den Computer zu formatieren oder auf die Werkseinstellungen zurückzusetzen, um ihn so zu „desinfizieren“. Tipp: Durchführung regelmäßiger Sicherheitskopien (Backups), um die Dateien wiederherstellen zu können, bevor sie infiziert wurden. =Betroffene können Screenshots der E-Mail und der Dateien machen, um diese als Beweismittel beizufügen, falls das Ganze zur Anzeige bei Incibe gebracht werden soll. Die E-Mail lautet: incidencias@incibe-cert.es.
=Wer Zweifel hat, kann sich direkt an die FNMT oder AEAT wenden, um sich bestätigen zu lassen, ob es sich bei der E-Mail tatsächlich um eine offizielle Mitteilung handelt oder nicht.