Login-Warnungen landen nicht grundlos im Spam

Vergangene Woche hat das Nationale Zentrum für Cybersicherheit (NCSC) einen erhöhten Meldeeingang verzeichnet. Grund dafür sind gemäss einer Mitteilung vor allem angebliche Droh-Mails der Polizei. Ausserdem fiel die Meldung eines Nutzers auf, der angeblich von Microsoft vor ungewöhnlichen Login-Aktivitäten aus Moskau gewarnt wurde. Doch handelte es sich dabei um einen Phishing-Versuch, der dank dem sogenannten "Sender Policy Framework" aufflog.

Microsoft Outlook verschiebt angebliches Microsoft-Mail in Spam

Microsoft-Nutzerinnen und -Nutzer erhalten aus Sicherheitsgründen eine Nachricht, wenn jemand von einem neuen Ort oder Gerät aus auf ein Konto zugreift. Betrüger nutzten diesen Umstand im erwähnten Fall aus und fälschten so eine Benachrichtigung, um einen Phishing-Versuch einzuleiten.

Der Betreff der E-Mail lautete "Microsoft account unusual sign-in activity" und stammte vom vermeintlichen Absender "no-reply@microsoft.com". Die ungewöhnlichen Login-Aktivitäten sollen von Moskau aus kommen. Prüfe man aber die in der E-Mail angegebene IP-Adresse, führe diese zu einem indischen Telko in Kalkutta und nicht etwa nach Moskau, schreibt das NCSC. Unabhängig davon fand es der betroffene Nutzer seltsam, dass Microsofts E-Mail-Programm die Nachricht direkt in den Spam-Ordner verschoben hatte, wenn die Mail doch angeblich von Microsoft selbst stammte.

Die zwei mitgeschickten Links im Mail - eine davon unter einem "Report the User"-Button - öffneten eine Antwort-E-Mail. Diese war aber nicht an Microsoft adressiert, sondern an eine extra dafür eröffnete E-Mail-Adresse. Das NCSC vermutet, dass die Angreifer dem Opfer im Fall einer Kontaktaufnahme einen Link zu einer gefälschten Microsoft-Webseite schicken würden, um an die Login-Daten zu gelangen, oder dass sie solche Daten schlicht in einer Antwort-Mail anfordern würden.

Tracking-Pixel lädt, sobald Mail geöffnet wird

Bei der Untersuchung des Source-Codes der E-Mail stellte das NCSC fest, dass beim unvorsichtigen Öffnen der Mail ein Tracking-Pixel geladen wird. Das erlaubt dem Absender zu erkennen, ob der Empfänger die Nachricht geöffnet hat. Cyberkriminelle nutzen derartige Pixel häufig beim Versand von Spam, um E-Mail-Adressen zu verifizieren.

Die E-Mail ziele klar auf Nutzende von Microsoft Outlook 365 ab. Das Spam-Erkennungsprogramm von Outlook identifizierte die E-Mail in diesem Fall aber als Phishing-Versuch und verschob sie direkt in den Spam-Ordner. Das sei einer Technik namens "Sender Policy Framework SPF" zu verdanken. Kommt der Absender nicht vom angegebenen Ort, wird die Mail als gefälscht eingestuft. Noch würden aber zu wenig Firmen diese einfache Technik umsetzen.

Das NCSC empfiehlt:

• E-Mails, die direkt im Spam-Ordner landen, sollten mit viel Vorsicht behandelt werden. Auf keinen Fall sollten Nutzer und Nutzerinnen auf Links klicken oder den Mails antworten.

• Im E-Mail-Client sollten Nutzerinnen und Nutzer die Funktion aktivieren: "Beim Öffnen von E-Mails keine Daten nachladen".

• Den E-Mail-Absendern nicht trauen. Betrüger können diese wie bei herkömmlichen Briefen fälschen.

• Betroffene sollten dem NCSC solche E-Mails am besten immer als Original melden, also mit dem E-Mail im Header.

Übrigens macht der Bundesrat aus dem NCSC ein neues Bundesamt. Bis Ende Jahr soll klar sein, wo dieses angesiedelt wird. Hier erfahren Sie mehr zu den Plänen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.