Ukrainekrieg: Polizei warnt vor Phishing mit Russland-Sanktionen

Kriminelle versuchen, sich mit Phishing-Mails die wegen des Ukraine-Kriegs verhängten Sanktionen gegen Russland zu Nutze zu machen. Das teilte das Landeskriminalamt Niedersachsen mit. Demnach geben sie sich als Kryptohandelsplattform Bitcoin.de aus und warnen vor einer Deaktivierung des Kontos in Folge von Sanktionen gegen Russland.

Zwar machen der Text und das E-Mail-Design den Anschein, von Bitcoin.de zu stammen, auch als Absender wird Bitcoin.de genannt. Die Absender-E-Mail-Adressen haben jedoch nichts mit der Kryptohandelsplattform zu tun. Ein Secreenshot, den das Landeskriminalamt veröffentlichte, zeigt beispielsweise die E-Mail-Adresse eines Pflegedienstes. "Gegebenenfalls kann es sich dabei um missbräuchlich übernommene/gehackte Server/Webseiten/Accounts handeln. Bitcoin.de wird dabei nur als Name missbraucht", erklärte die Polizei.

Im Text der E-Mail wird behauptet, dass Finanzdienstleister aufgrund der aktuellen Situation zur Einhaltung von Sanktionen verpflichtet seien und daher eine Verifikation der Daten notwendig sei. Ein Link in der E-Mail führt zu einer Phishing-Seite, auf der Bitcoin.de-Kunden ihre Zugangsdaten eingeben sollen.

Die Domain verwendet den häufig von Phishern angewandten Trick, die von Kunden erwartete Domain als Subdomain einer anderen Domain, die mit einer vermeintlichen Top-Level-Domain startet, auszuspielen. Demnach werden die Phishing-Seiten unter der Domain .de-schutz-kundenkonto.com betrieben, vor die ein bitcoin gesetzt wird, um den Anschein zu erwecken, es handle sich um die Domain Bitcoin.de.

Auch Bitcoin.de warnt auf seiner Webseite vor der Phishing-Kampagne. Betroffene sollten sich umgehend mit dem Kryptomarktplatz in Verbindung setzen. Die Polizei rät, auf eine Zwei-Faktor-Authentifizierung (2FA) zu setzen.

Anlagebetrug mit gefälschten Nachrichten von Musk und Merz

Die Masche mit Bitcoin.de ist jedoch nicht die Einzige, die Kriminelle im Zuge der Sanktionen gegen Russland und des Ukraine-Krieges anwenden: So werden laut Landeskriminalamt auch E-Mails im Namen von Medien wie der Zeit oder dem ZDF versendet, die behaupten, dass Tesla-Gründer Elon Musk oder CDU-Chef Friedrich Merz ihr Vermögen als Bitcoin übertragen würden.

Anschließend werden die Empfänger der E-Mails auf ein entsprechendes Angebot verwiesen, bei dem sie ihre persönlichen Daten eingeben sollen, um ein Konto zu eröffnen. Dabei werden neben Namen, Anschrift, Mailkontakt und Bankverbindung eine Kopie des Personalausweises sowie ein Selfie mit dem Ausweis in der Hand verlangt. Die Daten können von den Kriminellen später beispielsweise für Identitätsdiebstähle verwendet werden.

Danach soll ein Grundkapital überwiesen werden, das sich nach Darstellung im Login-Bereich der Webseite angeblich schnell vermehrt. So sollen die Betroffenen zu weiteren Einzahlungen auf der Plattform gebracht werden.