Phishing-Mails, in denen Banken Empfänger zum Abgleich ihrer Daten auffordern oder in denen PayPal über ein eingeschränktes Konto informiert, gehören nach wie vor zum Alltag. Täglich fallen unzählige Internetnutzer auf die Masche herein, als „verstörend“ ließen sich die Nachrichten allerdings nicht betiteln. Anders als eine weitere Mail, eine Vorladung des Bundeskriminalamts (BKA), die in den vergangenen Monaten vermehrt im Internet kursiert. Empfänger werden mit offiziellen Siegeln, Logos, Unterschriften, Fachtermini und bedeutend klingenden Namen geradezu überschüttet. Dabei sind die Vorwürfe alles andere als eine Lappalie: Kinderpornografie, Pädophilie, Exhibitionismus und Cyberpornografie. Doch was steckt wirklich dahinter und worauf sollten Betroffene achten? Wir haben uns die Vorladung genauer angesehen.
Vorladung mit Schock-Effekt
Im Titel der vom Absender „Bundeskriminalamt“ verschickten E-Mail steht lediglich „Vorladung“. Öffnet der Adressat diese, findet er eine Bilddatei sowie eine PDF (letztere im Anhang). Der Empfänger wird nicht namentlich erwähnt, dafür jedoch darüber informiert, dass ihm auf Wunsch des Exekutivdirektors von Europol oder des Vizepräsidenten beim BKA (wir hatten Zugriff auf mehrere unterschiedliche E-Mails) eine Vorladung übersandt wird. Es folgen Paragrafen aus den Gesetzestexten und Begriffe wie „Tribunal“ und „Staatsanwaltschaft“ – um den Leser einzuschüchtern. Anschließend wird diesem mit einem Gerichtsverfahren wegen Kinderpornografie, Pädophilie und weiteren Vergehen gedroht und eine schriftliche Begründung gefordert. Zu guter Letzt soll die Ausstellung eines Haftbefehls und einer Festnahme am Wohnort folgen. Stempel. Unterschrift.
Das BKA warnte bereits 2022 vor dieser Masche. Bei dem Schreiben handle es sich um Fake-E-Mails und man solle den Aufforderungen nicht nachkommen: „Hier handelt es sich vermutlich um den Versuch, Ihre Daten für die Begehung weiterer Straftaten auszuspähen.“ Zu diesem Zweck enthält Benachrichtigung zwar keine hinterlegte Verlinkung, wie sie bei handelsüblichen Phishing-Mails häufig zu finden ist. Dafür jedoch als PDF getarnten Malware. Die Einschüchterungstaktik zielt daher vermutlich darauf ab, den Empfänger so weit zu verängstigen, dass er die PDF herunterlädt und anklickt. Daher rät das BKA: „Öffnen Sie auf keinen Fall anhängige PDF-Dokumente oder Schreiben in diesen E-Mails. Diese könnten Schadsoftware enthalten und so Ihr Endgerät infizieren.“ Konkret könnte die Software im Anschluss still und heimlich personenbezogene Daten sammeln und diese an die unbekannten Verfasser weiterleiten – etwa zwecks Identitätsdiebstahls, Banking-Betrugs oder Erpressung.
Wer steckt hinter den Vorladungen?
Uns lagen zwei solcher E-Mails vor – verschickt von unterschiedlichen Absendern. Beide E-Mail-Adressen stammen offenkundig weder vom BKA noch von Europol. Allerdings scheint eine der beiden Adressen auf den ersten Blick einen Hinweis auf ihre Herkunft zu liefern. So stammte die elektronische Postadresse von der Schülerin eines rumänischen Gymnasiums (Liceul Teoretic “Petru Maior“ Ocna Mureș). Ein Blick in den Mail-Header lässt die Spur jedoch erkalten. Dieser erzeugt nämlich den Eindruck, als sei die elektronische Adresse des Absenders mittels des sogenannten E-Mail-Spoofing manipuliert und lediglich durch die Adresse des Gymnasiums ersetzt worden. Denn Antworten auf die angebliche Vorladung sollten auf ein gänzlich anderes digitales Postfach geleitet werden: „sitzdesbundeskriminalamts@gmail.com“ (in der zweiten E-Mail war es „bka.hauptsitz@gmail.com“). Den Standort der dazugehörigen IP-Adressen konnten wir nicht lokalisieren. Die Wahl der Tarnadresse legt jedoch den Schluss nahe, dass sich die Absender tatsächlich in Rumänien befinden oder Bezug zu dem Land haben könnten.
- Passend dazu: Handy sicher machen & vor Angreifern schützen – 8 Tipps
Empfänger sollten in erster Linie auf den Absender der E-Mail achten. Ferner deuten auch eine fehlende direkte Ansprache und eine nicht gänzlich korrekte Rechtschreibung auf einen Betrug hin. Und die Unterschriften der beiden angeblichen Absender sehen ebenfalls recht ähnlich aus. Hinzu kommt, dass sich die Cyberkriminellen bei einer der beiden uns vorliegenden Nachrichten eine Blöße gaben und vergaßen, das Profilbild anzupassen. Was zu einem unfreiwillig komischen Eintrag im Posteingang führte.
