Die KfW-Bank als Phishing-Köder
Die Diskussionen um die mögliche Einführung eines „digitalen Euro“ werden aktuell als Angriffsvektor für Phishing-Kampagnen genutzt. Dabei werden unter anderem gefälschte Webseiten der KfW-Förderbank, der Europäischen Zentralbank, der gemeinnützigen Verbraucherorganisation Stiftung Warentest sowie des Wirtschaftsmagazins Capital verwendet.
Eine gefälschte Webseite der KfW-Förderbank mit Verlinkungen zur Stiftung Warentest und Capital. Beworben wird ein angebliches EZB-Pilotprogramm mit unglaublichen Zinsversprechen.
Dies scheint eindeutig eine aufwändige Phishing Kampagne zu sein, da hier gleich mehrere Webseiten erstellt wurden. Falls man den Link aus der E-Mail folgt, landet man nach einer URL-Weiterleitung auf einer gefälschten Webseite der KfW-Förderbank, welche ein angebliches Pilotprogramm der Europäischen Zentralbank namens „TFOM2426“ bewirbt. Die KfW-Bank hat eine offizielle Warnung vor Fake-Websites und Phishing-Mails veröffentlicht.
Eine gefälschte Webseite der Stiftung Warentest, die dem angeblichen Pilotprogramm Bestnoten ausstellt. Wer kann da noch skeptisch sein?
Um die Glaubwürdigkeit der Phishing-Kampagne zu erhöhen, hat diese Webseite Links zur Stiftung Warentest, bei der das Pilotprogramm angeblich als das „sicherste und beste Finanzprogramm 2024“ beworben ist.
Das Wirtschaftsmagazin Capital hat das Pilotprogramm „TFOM2426“ angeblich in einer exklusiven Bewertung ausgezeichnet. Auch diese Webseite ist gefälscht.
Damit nicht genug: Die Spammer haben noch eine weitere Webseite erstellt und verlinkt, welche sich als das Wirtschaftsmagazin Capital ausgibt und schon vor dem offiziellen Programmstart das angebliche Pilotprogramm als „sicherstes Anlageprodukt 2024“ ausgezeichnet hat.
Eine gefälschte Webseite der EZB, bei der man sich als Teilnehmer anmelden kann. Auch eine Phishing-Website.
Der Aufwand, der hier betrieben wird, ist für Phishing enorm. Um die Glaubwürdigkeit beim Social Engineering zu erhöhen, werden vertrauenswürdige Webseiten kopiert und mit falschen Informationen bestückt. KfW, Capital und Stiftung Warentest genießen alle eine hohe Reputation in Deutschland. EZB und „digitaler Euro“ sind sicherlich auch allen Menschen im Land bekannt.
Nur noch wenige freie Plätze verfügbar: Die Kriminellen bauen durch künstliche Verknappung Druck auf.
Am Ende der gefälschten EZB-Phishing-Webseite wird das „Social Engineering“ noch einmal verstärkt. Es gibt selbstverständlich nur eine begrenzte Anzahl an Plätzen. Und es sind nur noch 431 Plätze frei – jetzt also schnell sein! Neben den Zu-schön-um-wahr-zu-sein-Zinsen von 25,5 % wird hier eindeutig Zeitdruck aufgebaut. Die ganzen gefälschten Webseiten sollen schließlich erreichen, dass man sich anmeldet und seine Daten preisgibt. Die Spammer wollen nicht, dass man sich diese „Chance“ durch zu langes Überlegen oder Überprüfen der Details entgehen lässt. Alles „red flags“, welche hier hoffentlich rechtzeitig zum Vorschein kommen.
IoCs: Indicators of Compromise
Die uns bekannten IoCs sind in 32Guards entsprechend bewertet. Das CERT-Bund wurde informiert und Administrator:innen sollten die Logfiles daraufhin überprüfen,ob gegebenenfalls Besuche der folgenden Webseiten stattgefunden haben und ob diese eventuell noch nicht durch ein Sicherheitsprodukt wie Web Gateway oder eine Firewall gesperrt sind.
Folgende Domänen sind aktuell als bösartig bekannt:
- ecb-digital[.]eu
- the-future-of-money-ecb[.]com
- stiftung-warentest[.]info
- capltal[.]info
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
