WeTransfer-Phishing-Kampagne: Daten von Empfängern in Gefahr

Auch in Deutschland nutzten viele den Dienst von WeTransfer

[datensicherheit.de, 14.04.2021] Jelle Wieringa, „Senior Security Awareness Advocate“ bei KnowBe4, warnt in seiner aktuellen Stellungnahme: „Die aktuelle WeTransfer-Phishing-Kampagne kann die Daten von Empfängern gefährden!“

Foto: KnowBe4

Jelle Wieringa: Um sich gegen Betrügereien wie aktuell mit WeTransfer zu schützen, sollten Unternehmen „menschliche Firewall“ errichten!

E-Mail behauptet, einige wichtige Dateien über WeTransfer erhalten zu haben

Avanan habe aktuell eine Phishing-Kampagne beobachtet, welche sich als WeTransfer ausgebe, um die Anmeldedaten der Benutzer zu stehlen. In der Betreffzeile der E-Mail heißt es laut Wieringa: „Sie haben einige wichtige Dateien über WeTransfer erhalten!“
Im Hauptteil der E-Mail würden die Empfänger darüber informiert, dass sie drei Dateien über den Dienst erhalten hätten, mit einem Link zum „Abrufen Ihrer Dateien“. Auch in Deutschland nutzten viele den Dienst von WeTransfer. „Grund dafür ist, dass darüber Daten ausgetauscht werden, welche für eine einfache E-Mail zu groß sind.“

Gefälschten Version der Website von WeTransfer mit einem Popup

Der Text dieser E-Mail sei „unglücklich formuliert“, was Benutzer merken sollten:

„Sehr geehrter Herr/Frau,

im Anhang finden Sie unseren Bestellkatalog und PO-209-2021 sowie die Allgemeinen Geschäftsbedingungen, bitte prüfen Sie, ob Sie uns diese zur Verfügung stellen können, und erstellen Sie ein Angebot.

Ich freue mich auf eine Zusammenarbeit mit Ihnen, danke.“

In dieser E-Mail heiße es außerdem „Wird bis zum 5. April 2021 gelöscht“, um ein Gefühl der Dringlichkeit zu vermitteln und die Benutzer zu motivieren, auf den Link zu klicken. Dieser führe zu einer überzeugend gefälschten Version der Website von WeTransfer mit einem Popup, welches dem Benutzer eine Schaltfläche zum Herunterladen seiner neuen Dateien präsentiere. Deren Namen sind demnach „List of Items.pdf“, „Drawings and Specifications.zip“ und „Company Profile.mp4“.

Wer auf Schaltfläche klickt, wird zu Anmeldeseite weitergeleitet, um WeTransfer-Anmeldedaten zu überprüfen

Wieringa warnt: „Wenn der Benutzer auf die Schaltfläche klickt, wird er zu einer Anmeldeseite weitergeleitet, um seine WeTransfer-Anmeldedaten zu überprüfen. Wenn sie versuchen, sich anzumelden, werden ihre Anmeldedaten an den Angreifer gesendet.“ Dem Opfer werde mitgeteilt, dass ein technischer Fehler aufgetreten sei und die Webseite fordere ihn auf, sein Passwort erneut einzugeben. „Ein guter Tipp ist, die Seite WeTransfer eigens im Browserfeld einzutippen und keinem Link zu folgen“, rät Wieringa.
WeTransfer selbst biete auf seiner Website Tipps an, um beispielsweise gefährliche Dateien, welche über den Dienst gesendet werden, zu erkennen. Darin heiße es: „Wenn Sie die Datei versehentlich herunterladen und es sich um ein PDF- oder Word-Dokument handelt, werden Sie möglicherweise aufgefordert, Eingabeaufforderungen zu aktivieren. Dadurch geben Sie diesen Spammern möglicherweise Zugriff auf Ihre Daten. Geben Sie also bitte keine persönlichen Daten wie E-Mail-Passwörter ein.“

URL der Phishing-Site ähnelt eindeutig nicht der legitimen URL von WeTransfer

Obwohl dieser Phishing-Angriff nicht sehr ausgeklügelt sei, würden Nutzer darauf reinfallen. Avanan merke an, dass die URL der Phishing-Site eindeutig nicht der legitimen URL von WeTransfer ähnele, so dass aufmerksame Benutzer den Betrug hätten erkennen können. „Durch Schulungen zum Sicherheitsbewusstsein können Mitarbeiter lernen, die Anzeichen von Phishing-Angriffen zu erkennen.“
Grundsätzlich gelte, wie WeTransfer auf seiner Website schreibe, Folgendes zum Bemerken eines Phishing-Angriffs:

• Erwarten Sie eine Mail, oder ist diese aus dem Nichts in Ihrem Posteingang gelandet? Wenn die Mail unerwartet ist, gehen Sie mit Vorsicht vor!
• Sie haben keine Ahnung, wer der Absender ist. Seien Sie vorsichtig!
• Sie erkennen den Absender, aber die Adresse ist anders oder Sie haben nicht erwartet, Dateien von ihm zu erhalten. Fragen Sie immer zuerst bei Ihrem bekannten Kontakt nach!
• Die übertragenen Dateien sind verdächtig klein. Oft nicht größer als ein paar Hundert KB. In dieser kleinen Datei kann eine ziemlich große und böse Überraschung versteckt sein!
• Bezieht sich der Dateiname in der E-Mail auf eine Rechnung oder eine Zahlung? Oder werden Sie aufgefordert, ein „Angebot“ herunterzuladen? Oder irgendetwas Verdächtiges, das mit Geld zu tun hat?
• Das Nachrichtenfeld enthält eine URL, die Sie weg von Ihrem Posteingang und weg von unserer Homepage zu einer völlig anderen URL-Adresse mit Ihrer E-Mail-Adresse am Ende des Links führt. Öffnen Sie diese Seite nicht!
• Bei den übertragenen Dateien handelt es sich um .jpg-, .scr-, .exe-, .doc-, .html-Dateien, die wie eine harmlose JPG-Datei aussehen sollen, in Wirklichkeit aber mehr bösartigen Inhalt enthalten.

Nicht nur bei WeTransfer: Von unbekannten Absendern stammende E-Mails der IT-Abteilung melden!

Um sich gegen solche Betrügereien zu schützen, sollten Unternehmen dringend in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssten alle Mitarbeiter durch ein fortschrittliches „New-School-Security-Awareness“-Training und regelmäßig durchgeführte Phishing-Tests geschult werden, um Phishing zu erkennen. „Ein Plug-In namens ,Phish-Alert-Button‘ kann außerdem in das Firmen-,Outlook‘ installiert werden, um den Angestellten beim Umgang mit Phishing zu helfen“, so Wieringa.
Über diesen Knopf könnten die Mitarbeiter seltsam aussehende und von unbekannten Absendern stammende E-Mails, hinter denen sie Phishing vermuten, direkt und einfach an die IT-Abteilung melden. Wieringa unterstreicht: „Es lohnt sich also, in diese Maßnahmen zu investieren, denn niemand möchte in den Schlagzeilen wegen eines IT-Zwischenfalles landen und so das Vertrauen der Kunden und Partner einbüßen.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels

AVANAN, Jeremy Fuchs, 05.04.2021
We Shouldn’t Transfer: Getting End-Users to Give Over Credentials

WeTransfer Help Center
How to recognise malicious files which are spam