EU warnt: Phishing mit Coronahilfen trifft vor allem T-Online-Nutzer

Die Europäische Kommission warnt vor Betrug mit angeblichen Antragsformularen für finanzielle Coronahilfen. E-Mails mit gefälschten Formularen für eine angebliche "Überbrückungshilfe II für Unternehmen, Betriebe, Selbstständige, Vereine und Einrichtungen" dienten offenbar dem Abfischen sensibler Daten, teilte die Kommission am 26. November mit und appellierte: "Öffnen Sie diese E-Mails nicht!" Kriminelle gäben sich als Mitarbeiter der Kommission aus.

"Betroffen sind derzeit vor allem Nutzerinnen und Nutzer von T-Online, da die Empfängerinfrastruktur hinter T-Online offenbar keine Herkunftsüberprüfung der betrügerischen E-Mails durchführt", schreibt die EU-Kommission in einer Pressemitteilung. Die Absender-Adressen der E-Mails wurden gefälscht und stammen auf den ersten Blick von existierenden @ec.europa.eu-Adressen. Im aktuellen Fall wurde die E-Mail-Adresse des Sprechers der Europäischen Kommission in Deutschland, Reinhard Hönighaus, verwendet.

In der E-Mail forderten die Kriminellen die Betroffenen dazu auf, ein Formular mit sensiblen Daten auszufüllen und anschließend an eine andere E-Mail-Adresse zu schicken (nicht @ec.europa.eu), schreibt die EU-Kommission. Auf diese Weise versuchen die Kriminellen, an die Daten zu gelangen, obwohl sie keinen Zugriff auf die E-Mail-Konten bei der EU-Kommission haben.

T-Online wegen mangelnder Prüfung betroffen?

Der Telekom wirft die EU-Kommission vor, keine Herkunftsüberprüfung mittels des Sender Policy Framework (SPF) vorzunehmen und damit die Fälschung der Absender zu ermöglichen. Allerdings prüft SPF nicht die normale Absenderadresse einer E-Mail, die im Header "From" steht und in Mailprogrammen angezeigt wird. Vielmehr wird nur die sogenannte Envelope-From-Adresse geprüft, die aber der Nutzer überhaupt nicht sieht. Eine E-Mail, die so aussieht, als käme sie von jemand anderem, kann man damit weiterhin verschicken.

Derweil hat die Deutsche Telekom Gegenmaßnahmen angekündigt, um das Problem zu lösen. Schon im Juli und Oktober seien ähnliche E-Mails für angebliche Coronahilfen verschickt worden, erklärt die EU-Kommission. Nach einer Anzeige bei der Polizei wurde die entsprechende Domain gesperrt.