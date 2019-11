Auf den ersten Blick wirkt die E-Mail ziemlich echt: Sie hat einen ordentlichen Briefkopf, den das richtige Logo des Bundeszentralamts für Steuern ziert, der Text ist in angemessenem Beamtendeutsch verfasst. „Benachrichtigung über Steuerrückerstattung 2019“ heißt es dort.

Das klingt doch gut. Wer den Rest der Mail überfliegt, erfährt die Höhe der Rückerstattung, gut 650 Euro, und dass das Rückerstattungsformular ausgefüllt und zurückgeschickt werden soll. Wer das tut, dem droht jedoch statt einer Steuerrückzahlung eine Lösegeldforderung. Die E-Mail ist Teil einer internationalen Malspam-Kampagne einer neuen Gruppe von Cyberkriminellen, wie die Cybersicherheits-Firma Proofpoint in einer aktuellen Untersuchung herausgefunden hat.

Phishing und Malware-Spam per Mail sind eines der größten Probleme in der IT-Sicherheit weltweit. Bei Phishing-Kampagnen (Zusammengesetzt aus „Password“ und „Fishing“) werden die Nutzer auf gefälschte Webseiten gelockt, wo sie Zugangsdaten für Online-Shops oder E-Mail-Accounts eingeben sollen. Mit der gestohlenen Identität können Kriminelle dann selbst einkaufen oder, im Fall von E-Mail-Accounts, weitere Konten erbeuten. Malspam-Attacken laufen ähnlich ab, nur sollen die Nutzer hier dazu gebracht werden, Schadsoftware zu installieren. Sind die Kriminellen einmal im System der Opfer, können sie Daten für Online-Banking abgreifen oder Erpressersoftware installieren.

E-Mails sind für die Täter das ideale Einfallstor, da sich Absenderadressen und das Layout legitimer Firmen leicht fälschen lassen und nur wenige unachtsame Klicks der Nutzer notwendig sind, bis die Kriminellen ihr Ziel erreicht haben. Außerdem sind E-Mails dazu da, um gelesen zu werden und E-Mail-Anhänge dazu da, geöffnet zu werden. Zwar sind Nutzer in den vergangenen Jahren immer aufmerksamer geworden, doch Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma Crowdstrike, sagte jüngst im Interview mit der SZ: „Etwa 30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst. Die paranoideste Firma schafft es mit extremem Aufwand vielleicht auf fünf Prozent.“

Die jetzt aufgedeckten Malspam-Kampagnen richteten sich an Italiener, Deutsche und US-Amerikaner. In Deutschland wendeten sich die Täter nicht nur an Steuerzahler, sondern auch gezielt an Kunden des Internetanbieters 1&1. Offenbar wurden in verschiedenen Ländern unterschiedliche bösartige Anhänge verteilt: Während Deutsche und Italiener mit ein paar unachtsamen Klicks die Erpressersoftware Maze installieren sollen, fangen sich arglose US-Bürger dagegen einen Banking-Trojaner ein. Die Absender der Nachrichten sind jedoch dieselben.

Das zeigt eine Analyse der Absenderdaten und der mit den Mails verteilte Schadsoftware. Sowohl die deutschen Spam-Mails als auch die Nachrichten an Italiener und US-Bürger kommen von gefälschten Absenderadressen, die auf „.icu“ enden. Das ist eine Adress-Endung, die keinem bestimmten Land zugeordnet ist, wie etwa „.de“ für deutsche Domains oder „.it“ für italienische. Überprüft man die vollständigen Domains mithilfe eines speziellen Werkzeugs, kann man herausfinden, wer diese Internet-Adressen registriert hat: Sie alle führen zu einer identischen E-Mail-Adresse des russischen Mail-Anbieters yandex.ru. Aus diesem und weiteren Indizien schließen die Proofpoint-Experten, dass die Absender der E-Mails russischsprachig sind.

Spätestens an diesem Punkt sollte Nutzern klar sein, dass sie keine Steuerrückzahlung zu erwarten haben. Doch schon in der falschen Nachricht selbst gibt es einige Hinweise darauf, dass es sich um einen Phishing-Versuch handelt.