Häufig verschicken Angreifer Phishing-E-Mails im Namen bekannter Unternehmen, um Anmeldeinformationen für die persönlichen Konten, Telefonnummern und andere für Betrugsmaschen oder Kontoübernahmen nützliche Nutzerinformationen zu entwenden. Zu den attraktivsten Zielobjekten für Phisher gehören Kunden von Finanzorganisationen wie Banken, Kryptobörsen, Zahlungssystemen und dergleichen.
Wir haben nun eine neue Phishingmethode entdeckt, die auf den Online-Finanzdienst Wise (ehemals TransferWise) abzielt, der von Millionen von Nutzern Einsatz findet. In diesem Beitrag analysieren wir, wie genau die Masche funktioniert und geben Ihnen Tipps zum Vermeiden von Datendiebstahl.
Das ist Wise
Warum gerade Wise? Unzählige Nutzer vertrauen dem Dienst, der bis vor kurzem noch unter dem Namen TransferWise bekannt war und sein Hauptgeschäft auf kostengünstige Auslandsüberweisungen konzentrierte, ihr Geld an. Im Jahr 2021 erweiterte das Unternehmen sein Leistungsangebot um Multi-Währungskonten und Debitkarten (unter anderem).
Im Rahmen eines Rebrandings änderte Wise seinen Namen von ehemals TransferWise zu Wise. Eine anfängliche Verwirrung im Zusammenhang mit der Namensänderung machten sich gewiefte Cyberkriminelle zunutze.
So funktioniert die Phishing-Methode
Ein Angriff beginnt mit einer Phishing-E-Mail, die angeblich vom Supportteam des Unternehmens stammt. Die E-Mail informiert das Opfer darüber, dass es aufgrund des Rebrandings „sein Konto auf die neue Plattform migrieren“ muss.
Nutzer, die weniger aufmerksam sind, könnten die Nachricht leicht für echt halten, da wise.com in der Absenderadresse erscheint und der Text selbst das Firmenlogo mit der markenrechtlich geschützten blauen Flagge enthält. Ein genauerer Blick zeigt jedoch mehr rote als blaue Flaggen: Die Absenderadresse besteht aus einer zufälligen Zahlenfolge, kombiniert mit Wörtern, die rein gar nichts mit Wise zu tun haben. Darüber hinaus gehört die Domain aus irgendeinem Grund der, Achtung, Moringa-Schule in Kenia! Der Text selbst ist voller Grammatik- und Tippfehler, die ein seriöses Unternehmen vermutlich nicht auf sich sitzen lassen würde.
In der E-Mail tauchen zwei Links auf: Einer soll auf die neue Seite verweisen, der andere bei der Kontaktaufnahme mit den Absendern helfen. Tatsächlich führen beide auf dieselbe Seite, die das Opfer automatisch auf eine andere Phishing-Website umleitet.
Die Phishing-Seite sieht überzeugender aus als die E-Mail: Sie zeigt die gleiche Willkommensnachricht sowie ein und dasselbe Design wie die authentische Wise-Website. Die einzigen Unterschiede sind das Bild links auf der Seite und die URL. Letztere zeigt unerwartet den Namen einer obskuren App zum Auffinden von Restaurants und vergünstigten Dienstleistungen an. An dieser Stelle fordern die Cyberkriminellen den Benutzer auf, seine E-Mail-Adresse und sein Passwort für die Kontoanmeldung einzugeben.
Dabei handelt es sich bei den Anmeldeinformationen nicht um die einzigen persönlichen Daten, die von den Kriminellen gesammelt werden: Nachdem die E-Mail und das Passwort „akzeptiert“ wurden, fragt die Website nach der Telefonnummer des Opfers. Übrigens: auf der echten Wise-Seite wird bei der Anmeldung nicht nach Ihrer Telefonnummer gefragt.
Wenn Nutzer auf die Schaltfläche „Continue“ klicken, friert die Seite plötzlich ein: während sich die Daten auf den Weg zu den Cyberkriminellen machen, bekommt das Opfer lediglich ein Logo mit der Unterschrift „Loading“ zu Gesicht.
Ungeduldige Nutzer, die erneut auf die Schaltfläche „Continue“ klicken, werden dann auf die offizielle Website von Wise umgeleitet. Wenn Nutzer die URL an dieser Stelle auf ihre Authentizität prüfen, merken sie nicht, dass ihre Daten in Wirklichkeit in die Hände von Cyberkriminellen geraten sind, und haken vermutlich nicht weiter nach.
Was passiert mit den Daten?
Höchstwahrscheinlich sind es vor allem Telefonnummern, an denen Cyberkriminelle interessiert sind, um diese an Telefonbetrüger weiterzuverkaufen. Kompromittierte Konten geben ihnen Zugriff auf zusätzliche Informationen über Nutzer, insbesondere Vorname, Nachname und Wohnadresse, mit dessen Hilfe Telefonbetrüger dann deutlich überzeugender klingen können.
So können Sie sich schützen
Um Ihre Daten zu schützen, sollten Sie einige grundlegende Cybersicherheitsregeln befolgen.
- Wenn Sie eine E-Mail von einem scheinbar bekannten Unternehmen erhalten, sollten Sie zunächst einen Blick auf den Absender werfen. Enthält die Absenderadresse einen Mix aus Zahlen und Buchstaben, aleatorischen Wörtern oder eine ungewöhnliche Domain, handelt es sich höchstwahrscheinlich um einen Betrugsversuch.
- Öffnen Sie keine Links in E-Mails und Benachrichtigungen, selbst wenn Sie glauben, den Absender zu kennen; Es ist immer besser, Websites über Ihre Lesezeichen oder eine Suchmaschine zu öffnen oder URLs manuell einzugeben.
- Im Zweifelsfall sollten Sie sich immer an das Support-Team des Unternehmens wenden, von dem die E-Mail angeblich stammt. Die Mitarbeiter können Ihnen mit Sicherheit sagen, ob die Nachricht echt ist. Bei Bedarf werden sie Maßnahmen ergreifen und andere Benutzer warnen.
- Installieren Sie ein zuverlässiges Antivirus mit integriertem Schutz vor Phishing und Online-Betrug.