Vodafone Phishing "Reminder: Guthabenanforderung : bitte Rückerstattung veranlassen"

Aktuell werden Phishingmails mit Vodafone-Branding gezielt an Unternehmen versendet. ​Soweit nichts ungewöhnliches könnte man denken, allerdings wurde hier mit "Liebe zum Detail" gearbeitet. Es werden außerdem gültige Vodafone Mailadressen als Absender angezeigt. Durch die gute technische Umsetzung, könnten sehr viele Unternehmen diese Mails erhalten haben.

Heute haben uns von mehreren Kunden Anfragen zu einer vermeintlichen Vodafone Phishingmail erreicht. In der Mail geht es um eine "Guthabenanforderung". Im Beispiel unten haben wir alle Rückschlüsse zum Empfänger unkenntlich gemacht:

Für einen Laien ist diese Mail leider nicht so einfach oder eindeutig als Phishing erkennbar. Um die Glaubwürdigkeit der Mail zu steigern, wird eine Telefonnummer mit einer Münchner Vorwahl von einem sogenannten "Germany Account Clearing" genannt. Als wir heute Nachmittag dort angerufen haben, bekamen wir eine Bandansage, dass wir außerhalb der Geschäftszeiten anrufen. Wir werden es aber noch mal versuchen und dann hier weiter berichten.


Anlagen

Neben der Telefonnummer möchte auch der Anhang den Empfänger überzeugen. Im Anhang befindet sich eine PDF-Datei mit dem Namen "DE37-_Bank_details.pdf" und eine Exceldatei ohne Makros mit dem Titel "Rechnungs-Details_Invoice_Details_.xlsx".

In der PDF-Datei befindet sich eine Vodafone Zahlungsinformation mit Logo und original Kontodaten. Der Inhaltsbereich ist komplett leer. Schaut man sich die Dokumenteninformationen der Datei an, sieht man als Ersteller einen deutschen Vor- und Nachnamen. Dieser wurde nach kurzer Recherche in sozialen Netzwerken gefunden und gehört scheinbar wirklich zu einer ehemaligen Mitarbeiterin der Vodafone Buchhaltung. Diese arbeitet wohl mittlerweile an einer anderen Position innerhalb des Konzerns.



In der Excel-Datei befinden sich Informationen zu Gebäuden, die in Verbindung zum Empfängerunternehmen stehen können. Bei größeren Unternehmen mit einem Filialennetz könnte der Fake erst einmal nicht auffallen. Allerdings wurde beim Autor der Exceldatei nicht so gründlich wie beim PDF gearbeitet. Die angebliche Mitarbeiterin verdient ihr Geld laut Linkedin zwar in der IT-Branche, allerdings nicht bei Vodafone. Hierbei handelt es sich um einen indischen Vor- und Nachnamen.



Absender mit "guter" Reputation

Als technischer Versender der Mail fungierte ein Anbieter, der sich auf den sicheren Versand von E-Mails spezialisiert hat und vor einigen Jahren durch einen großen IT-Security Konzern übernommen wurde. Das Unternehmen bietet in seinen Cloud Security Suiten für Geschäftskunden die Möglichkeit, ein und ausgehende Mails durch deren Infrastruktur prüfen und filtern zu lassen. Weswegen der Anbieter bei Spamfiltern ein gutes Ansehen genießt. Aufgrund der guten Reputation der Absender IPs und die großzügige DNS-Konfiguration der Domain vodafone.com, dürfte diese Nachricht durch einige Mailgateways und Security Systeme in die Postfächer von Mitarbeiter gelangt sein.

Wir haben selbstverständlich das Unternehmen über unsere Erkenntnisse informiert und um Stellungnahme gebeten. Bis jetzt haben wir dazu keinerlei Informationen oder Rückmeldungen erhalten.


Vodafone

Selbstverständlich haben wir den Kundenservice von Vodafone / Kabel Deutschland ebenfalls darüber in Kenntnis gesetzt. Sowohl die Vorgangsnummer als auch die Festnetznummer aus der Mail sind dem Unternehmen nicht bekannt. Die Informationen sind intern mittlerweile an der "richtigen" Stelle wurde uns vom Support versichert.


Ähnliche Fälle

Erst vor kurzem warnte die Verbraucherzentrale vor einer ähnlichen Masche, bei der mittels vorgetäuschter DSGVO-Abfrage die persönlichen Daten des Kunden neu abgeglichen werden sollten. Die gestohlenen Identitäten wurden im Anschluss für Straftaten genutzt.


Bei neuen Erkenntnissen werden wir euch hier selbstverständlich auf dem Laufenden halten.

Über den Autor

Steffen Kolb Gründer und Projektleiter
ITler aus Leidenschaft, der sich seit über 10 Jahren mit Serversystemen beschäftigt. Außerdem SysAdmin, Webvideoproduzent, Metalhead, Gründer und Geschäftsführer von QSO4YOU (Services)

Verwandte Artikel

Kein Aprilscherz: Vodafone-LTE-Mobilfunk auf dem Mond geplant

0
Ein kleines deutsches Unternehmen plant eine private Mission zum Mond, Vodafone errichtet dazu auf dem Mond ein LTE-Mobilfunknetz und Audi konstruiert zwei Mondfahrzeuge.
Das klingt wie ein Aprilscherz, soll aber tatsächlich realisiert werden. Das Berliner Start-up-Unternehmen "Part Time Scientists" [URL:http://ptscientists.com/] plant eine solche Mission für Mitte 2018.
Ursprünglich wollte "Part Time Scientists" nur an dem Google-Wettbewerb "Lunar X-Prize" teilnehmen, bei dem es darum geht,…

Deutsche Bank Phishing "Der Einweisungsprozess ist obligatorisch"

0
Wir haben einige Hinweise auf eine aktuell grassierende Phishingwelle bekommen. Im Fokus stehen Kunden der Deutschen Bank. Die Phishingseite ist gut gestaltet und der Nachbau ist auf den ersten Blick nicht so leicht vom Original zu unterscheiden. Wir verraten euch, wie ihr den Schwindel schnell enttarnen könnt.

Elon Musk vs. ZDF, Netzsperren sind da!, Facebook Datenleck, Zwei-Phasenkühlung, APTs nutzen VPN-Schwachstelle - Tech Talk #38

0
Das ZDF bringt in seinem Magazin Frontal 21 einen sehr umstrittenen Bericht über das neue Tesla Werk im brandenburgischen Grünheide. Hier meldete sich sogar der Tesla CEO Elon Musk zu Wort. Wir stellen einige Aussagen aus dem Bericht richtig. Einige Millionen Nutzerdaten von Facebook sind aufgetaucht. Der Konzern bestreitet allerdings eine aktuelle Sicherheitslücke. Ein zweiphasiges Kühlkonzept wird aktuell in Rechenzentren getestet. David berichtet über die möglicherweise höheren Wirkungsgrade. Steffen berichtet außerdem über eine VPN-Schwachstelle eines renommierten Firewallherstellers, die aktuell von Cyberkriminellen zur Verbreitung von Advanced Persistent Threats (APTs) in Unternehmensnetzwerken genutzt wird. Außerdem sprechen wir über bereits implementierte Websperren einiger Provider, deutsches Satelliten-Internet und einem Easteregg bei Windows 95.
itsa2022-hornetsecurity-it-seal

it-sa 2022: Prevention - Detection - Awareness (Hornetsecurity/IT-Seal)

0
Mit der Nutzung von Microsoft 365 wiegen sich viele Unternehmen in trügerischer Sicherheit. Alex Wyllie Gründer der IT-Seal GmbH ist mit seinem Unternehmen Teil der Hornetsecurity Gruppe. Er erklärt, warum eine Drittanbieter-Lösung für Microsofts Public-Cloud-Anwendung unerlässlich ist. Hornetsecurity bietet in seinem Portfolio ein Next-Gen Security System für Microsoft 365 (früher Microsoft Office 365). Des Weiteren gehören seiner Meinung nach Awareness Training, Backup und Archivierung zu einer ganzheitlichen IT-Sicherheitsstrategie für eine hohe Business Continuity.