Vorsicht! Bösartige Phishing-Mail, die angeblich von “Lufthansa Miles & More Kreditkarte” stammt

Bei dieser aktuellen E-Mail, die angeblich von “Lufthansa Miles & More Kreditkarte” stammen soll, handelt es sich um eine betrügerische Phishing-Mail. Die Mail wurde nahezu identisch im Corporate Design von “Lufthansa Miles & More Kreditkarte” erstellt und wirkt deshalb auf den ersten Blick sehr echt. Es ist also Vorsicht geboten!

Da Vorsicht die Mutter der Porzelankiste ist, nehme ich diesmal den ersten Part meiner Handlungsempfehlungen vorweg: Solltest du “Lufthansa Miles & More”-Kunde sein und bei dir im Postfach eine E-Mail von “Lufthansa Miles & More Kreditkarte” landen, stelle dein E-Mail-Programm auf dem Desktop-PC/Laptop oder die entsprechende App auf deinem Smartphone/Tablet so ein, dass die Kopfzeilen von E-Mails (E-Mail-Header) detailliert angezeigt werden, damit du den Absender auf Echtheit überprüfen bzw. eindeutig identifizieren kannst.

Hier aber zunächst einmal eine Ansicht der böswilligen “Miles & More”-Phishing-Mail:

Da diese Phishing-Mail, bis auf die nicht personalisierte, allgemeine Anrede, gestalterisch und inhaltlich authentisch aussieht und auf einem kleinen Smartphone-Bildschirm versehentlich für echt gehalten werden könnte, empfehle ich dir in deinem E-Mail-Programm die Kopfzeilen (grundsätzlich) zu aktivieren.

In Thunderbird (Desktop-PC) aktivierst du die Kopfzeilen z. B. im Menü unter:

Ansicht -> Kopfzeilen -> Alle.

Auf deinem Smartphone könnte diese Funktion möglicherweise – je nachdem, welchen E-Mail-Dienst oder welche App du dafür nutzt – nicht zur Verfügung stehen. Alternativ könntest du die Mails auf dem Smartphone im Webbrowsers aufrufen. Davon rate ich dir aus Sicherheitsgründen allerdings dringend ab.

Wenn du auf Nummer sicher gehen willst, schaue dir deine Mails am Besten auf dem Desktop-PC inkl. aller Kopfzeilen an, bevor du auf Links klickst, E-Mail-Anhänge öffnest oder herunterlädst.

Die Kopfzeilen in der “Miles & More”-Phishing-Mail sehen wie folgt aus:

Ohne die Anzeige der Kopfzeilen würdest du in der Regel als “Von”-Adresse: “service@lufthansacard.de” sehen. Mit Hilfe der vollständig angezeigten E-Mail-Header siehst du hier den tatsächlichen Absender: “tprsic201911207@student.fil.bg.ac.rs

Tipp: Der tatsächliche Absender ist nicht in allen Phishing-Mails immer so offensichtlich zu erkennen!

Wer oder was verbirgt sich hinter der Domain der Absenderadresse?

Beim Aufruf der Domain student.fil.bg.ac.rs erscheint eine Login-Seite zu einem angeblichen Studentenservice in russischer Sprache:

Was verbrirgt sich hinter dem Button? Wohin führt ein Klick auf den Button “Bestätigung Ihrer Identität”?

Wenn du in der Mail mit der Maus über den Button “fährst”, kannst du am unteren Rand des Fensters die URL sehen, zu dem dich dieser Link führen würde, wenn du darauf klickst. In diesem Beispiel verbirgt sich die nachfolgende Adresse hinter dem Button-Link:

https://s.free.fr/b23w33TD

Anhand dieses Links kannst du sofort erkennen, dass es sich um eine böswillige, betrügerische E-Mail handelt und dass dich der Link nicht auf die offizielle Seite von “Lufthansa Miles & More Kreditkarte” leitet.

Was passiert, wenn du auf den Button in der Phishing-Mail klickst?

Wenn du auf den Button klickst, wirst du weitergeleitet: Von https://s.free.fr/b23w33TD zu https://inspiring-moser.190-61-4-74.plesk.page zu https://manuelt48.sg-host.com. Im Quelltext der jeweiligen Seiten sehen die URL-Weiterleitungen beispielsweise folgendermaßen aus:

In dem oben aufgeführten Beispiel kannst du sehen, dass nur eine Zeile HTML notwendig ist, um Besucher weiterzuleiten:

<meta http-equiv="refresh" content="0; URL=https://manuelt48.sg-host.com" />

Die “0” in dem HTML-Meta-Tag gibt den Zeitfaktor der Weiterleitung in Sekunden an. Sie weist den Browser der Besucher dazu an, die Weiterleitung sofort vorzunehmen. Als Besucher merkst du es deshalb kaum, dass du mehrfach weitergeleitet wirst. Letztlich leiten dich die Meta-Tags zu der nachfolgenden Domain: https://manuelt48.sg-host.com

Auf dieser Ziel-Website wird ein Phishing-Formular vorgehalten:

Auch hier wird das Corporate Design von “Miles & More” täuschend echt immitiert. Das Phishing-Opfer wird hier dazu verleitet, den Anmeldenamen (Legitimations ID) sowie das Passwort für das “Miles & More Kreditkarte”-Konto einzugeben und den Button “Anmelden” zu betätigen.

Gibt ein Opfer hier die Daten des “Miles & More Kreditkarte”-Kontos ein, werden sie erfasst, gespeichert und somit gestohlen. Beim Klick auf den Anmelde-Button werden nicht nur die “Miles & More”-daten gestohlen, das Opfer wird auf eine weitere Seite (Onlineshop) weitergeleitet, die aktuell eine sehr schlecht gemachte Kopie der offiziellen SCHUFA-Seite darstellt. Die dort angepriesenen Produkte, wie z. B. Bonitätsauskünfte, muten natürlich sehr merkwürdig an. Spätestens jetzt merkt das Opfer, dass es einer böswilligen Phishing-Mail auf den Leim gegangen ist.

Handlungsempfehlung für diese fiese Phishing-Mail: Checke zunächst die Kopfzeilen (E-Mail-Header) der Nachricht und überprüfe die Echtheit und Identität der “VON”-Adresse. Sofern du nicht im Besitz eines “Lufthansa Miles & More”-Kontos bist, solltest du diese Nachricht nach Möglichkeit gar nicht erst öffnen und schon gar nicht auf den Link-Button innerhalb der Mail klicken. Du solltest diese betrügerische Phishing-Mail umgehend löschen!

Wenn du in Sachen Spam, Scam, Phishing und Social-Engineering stets auf dem Laufenden bleiben willst und darüber hinaus von meinen Security-Tipps profitieren möchtest, freue ich mich, wenn du meine Cybersecurity-News abonnierst: