Heute haben uns von mehreren Kunden Anfragen zu einer vermeintlichen Vodafone Phishingmail erreicht. In der Mail geht es um eine "Guthabenanforderung". Im Beispiel unten haben wir alle Rückschlüsse zum Empfänger unkenntlich gemacht:

Für einen Laien ist diese Mail leider nicht so einfach oder eindeutig als Phishing erkennbar. Um die Glaubwürdigkeit der Mail zu steigern, wird eine Telefonnummer mit einer Münchner Vorwahl von einem sogenannten "Germany Account Clearing" genannt. Als wir heute Nachmittag dort angerufen haben, bekamen wir eine Bandansage, dass wir außerhalb der Geschäftszeiten anrufen. Wir werden es aber noch mal versuchen und dann hier weiter berichten.


Anlagen

Neben der Telefonnummer möchte auch der Anhang den Empfänger überzeugen. Im Anhang befindet sich eine PDF-Datei mit dem Namen "DE37-_Bank_details.pdf" und eine Exceldatei ohne Makros mit dem Titel "Rechnungs-Details_Invoice_Details_.xlsx".

In der PDF-Datei befindet sich eine Vodafone Zahlungsinformation mit Logo und original Kontodaten. Der Inhaltsbereich ist komplett leer. Schaut man sich die Dokumenteninformationen der Datei an, sieht man als Ersteller einen deutschen Vor- und Nachnamen. Dieser wurde nach kurzer Recherche in sozialen Netzwerken gefunden und gehört scheinbar wirklich zu einer ehemaligen Mitarbeiterin der Vodafone Buchhaltung. Diese arbeitet wohl mittlerweile an einer anderen Position innerhalb des Konzerns.



In der Excel-Datei befinden sich Informationen zu Gebäuden, die in Verbindung zum Empfängerunternehmen stehen können. Bei größeren Unternehmen mit einem Filialennetz könnte der Fake erst einmal nicht auffallen. Allerdings wurde beim Autor der Exceldatei nicht so gründlich wie beim PDF gearbeitet. Die angebliche Mitarbeiterin verdient ihr Geld laut Linkedin zwar in der IT-Branche, allerdings nicht bei Vodafone. Hierbei handelt es sich um einen indischen Vor- und Nachnamen.



Absender mit "guter" Reputation

Als technischer Versender der Mail fungierte ein Anbieter, der sich auf den sicheren Versand von E-Mails spezialisiert hat und vor einigen Jahren durch einen großen IT-Security Konzern übernommen wurde. Das Unternehmen bietet in seinen Cloud Security Suiten für Geschäftskunden die Möglichkeit, ein und ausgehende Mails durch deren Infrastruktur prüfen und filtern zu lassen. Weswegen der Anbieter bei Spamfiltern ein gutes Ansehen genießt. Aufgrund der guten Reputation der Absender IPs und die großzügige DNS-Konfiguration der Domain vodafone.com, dürfte diese Nachricht durch einige Mailgateways und Security Systeme in die Postfächer von Mitarbeiter gelangt sein.

Wir haben selbstverständlich das Unternehmen über unsere Erkenntnisse informiert und um Stellungnahme gebeten. Bis jetzt haben wir dazu keinerlei Informationen oder Rückmeldungen erhalten.


Vodafone

Selbstverständlich haben wir den Kundenservice von Vodafone / Kabel Deutschland ebenfalls darüber in Kenntnis gesetzt. Sowohl die Vorgangsnummer als auch die Festnetznummer aus der Mail sind dem Unternehmen nicht bekannt. Die Informationen sind intern mittlerweile an der "richtigen" Stelle wurde uns vom Support versichert.


Ähnliche Fälle

Erst vor kurzem warnte die Verbraucherzentrale vor einer ähnlichen Masche, bei der mittels vorgetäuschter DSGVO-Abfrage die persönlichen Daten des Kunden neu abgeglichen werden sollten. Die gestohlenen Identitäten wurden im Anschluss für Straftaten genutzt.


Bei neuen Erkenntnissen werden wir euch hier selbstverständlich auf dem Laufenden halten.

    Über den Autor

    ITler aus Leidenschaft, der sich seit über 10 Jahren mit Serversystemen beschäftigt. Außerdem SysAdmin, Webvideoproduzent, Metalhead, Gründer und Geschäftsführer von QSO4YOU (Services)

    Teilen

    Kommentare