Vorsicht, Phishing! Gefälschte Consorsbank-Mail: Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung

by in Phishing

Phishing gehört längst zum Alltag – und doch entwickeln Angreifer ihre Methoden stetig weiter. Die vorliegende Nachricht, die scheinbar im Namen der Consorsbank verschickt wurde, ist ein exemplarisches Beispiel für die raffinierte Kombination aus technischer Täuschung, psychologischem Druck und geschickt getarnten HTML-Strukturen.

Auf den ersten Blick wirkt die Mail vertraut: offizielles Logo, ein plausibel klingender Grund („Telefonnummernverifizierung“), ein klarer Handlungsaufruf. Doch unter der Oberfläche offenbart sich ein hochgradig orchestrierter Angriff: BCC-Zustellung über Spam-Pools, gezielt gesetzte Links zu kompromittierten Domains und ein HTML-Aufbau, der nicht nur die Nachahmung einer echten Bank-Kommunikation imitiert, sondern zusätzlich fremde Newsletter-Fragmente verbirgt, um Filtermechanismen zu unterlaufen.

Screenshot der gefälschten Consorsbank-E-Mail: „Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung!“
Abb. 1: Screenshot der gefälschten Consorsbank-E-Mail: „Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung!“

Phishing-Kampagnen dieser Art sind nicht mehr die plumpen, fehlerhaften Kopien von früher. Sie sind das Ergebnis einer Industrie, die Datenströme, gekaperte Infrastrukturen und psychologische Trigger miteinander kombiniert. Wer diese E-Mails erhält, ist kein zufälliges Opfer, sondern Teil eines systematisch betriebenen Massenangriffs, der sich aus sogenannten Spam-Pools speist – gigantischen Datenbanken gehackter und gehandelter E-Mail-Adressen.

Vorsicht, Phishing! Gefälschte Consorsbank-Mail: Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung
Abb. 2: Screenshot (Auszug) aus dem E-Mail-Header der gefälschten Consorsbank-E-Mail: „Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung!“

Erkennungsmerkmale, die eindeutig zeigen, dass es sich bei dieser E-Mail um eine Phishing-Mail handelt:

1. Auffälligkeiten im Betreff & Absender

  • Betreff: „Ѕіе hаbеn еіnе wісhtіgе nеuе Νасhrісht…“
    → Auffällig: Buchstaben sind teilweise kyrillisch (mit dem bloßen Auge, ohne Analyse, nicht zu erkennen), wirken wie „homoglyph“-Tricks, um Spamfilter zu umgehen.
  • Von: „Consorsbank AG caroleberger@franciosoluca.com“
    → Offensichtlich gefälscht: Domain franciosoluca.com hat nichts mit Consorsbank AG zu tun.
  • Return-Path: <caroleberger@franciosoluca.com>
    → Gleiche Fake-Domain wie im „From“.

2. Technische Header-Prüfung

  • Received-Kette:
    • Ursprungs-Server: gmailapi.google.com (via HTTPREST), nicht über einen klassischen Mailserver. → Sieht nach missbrauchtem Google-Account oder API aus.Weiterleitung über mail-yw1-f194.google.com (209.85.128.194) → legitimer Google-Server.Danach Weiterleitung an deinen Provider.
    Interpretation: Die Mail wurde tatsächlich über Googles Infrastruktur verschickt, aber mit fremder/falscher Absenderadresse.
  • DKIM-Signatur:
    • dkim=pass für franciosoluca-com.20230601.gappssmtp.com
    • D.h. die Domain franciosoluca.com hat einen gültigen DKIM-Eintrag → technisch korrekt signiert.
    • Das heißt aber nur, dass die Mail wirklich über Google im Auftrag dieser Domain gesendet wurde – nicht, dass der Absender vertrauenswürdig ist.
  • DMARC/Authentizität:
    • Kein Hinweis, dass die echte Domain der Consorsbank (consorsbank.de) beteiligt war.
    • Absender-Domain franciosoluca.com stimmt mit DKIM & Return-Path überein → DMARC dürfte bestehen, aber die Domain ist nicht vertrauenswürdig.

3. Ziel & Struktur

  • An: Notice <jixaad@franciosoluca.com>
  • BCC: meinefirma@example.com → typischer Spam-Massenversand (echte Empfänger werden ins BCC gepackt).
  • Content-Type: multipart/alternative → E-Mail hat HTML-Inhalt mit Links.

4. Risikobewertung

  • Absender „Consorsbank“ ist gefälscht.
  • Absender-Domain (franciosoluca.com) ist keine Bank, sondern missbräuchlich registriert.
  • Kyrillische Zeichen im Betreff deuten auf Phishing oder Spam.
  • Weiterleitung über Google-Mailserver zeigt: gehacktes Konto oder missbrauchter API-Zugang.
  • Typischer Trick: Empfänger soll auf einen Link klicken, um angeblich „Telefonnummer zu verifizieren“.

Klares Phishing / Betrug – nicht öffnen, keine Links anklicken.

5. Empfehlung

  1. Nicht antworten / keine Links klicken.
  2. Falls im Firmenumfeld: Mail als Phishing markieren & an die IT-Abteilung weiterleiten.
  3. Domain franciosoluca.com kann für Blacklisting/Blockierung eingetragen werden.
  4. Optional: Header an Google melden (abuse@google.com), da deren Infrastruktur missbraucht wird.

Wenn du Interesse an unserem Whitepaper (inklusive einer forensischen Header- und HTML-Analyse) zu dieser Phishing-Mail hast, freuen wir uns über deine Kontaktaufnahme.

Bisher haben wir unsere tiefgehenden Phishing-Mail-Analysen kostenfrei zur Verfügung gestellt. Allerdings mussten wir feststellen, dass unsere Inhalte zunehmend – ohne Rücksprache – in Schulungen und Trainings Dritter eingesetzt und sogar kommerziell weiterverwertet werden. Daher haben wir uns entschieden, unsere ausführlichen Analysen künftig kostenpflichtig anzubieten. Ein eigener Shop dafür befindet sich bereits in Vorbereitung.

In der Zwischenzeit empfehlen wir dir unsere kostenfreien Cyber-News – kompakte Updates zu aktuellen Bedrohungen, praxisnahen Analysen und nützlichen Tipps, direkt in dein Postfach.

Inhalt des Whitepapers zur gefälschten Consorsbank-Mail: „Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung!“

  1. Executive Summary
    • Kurze Zusammenfassung der wichtigsten Erkenntnisse
  2. Einleitung
    • Professionalisierung von Phishing
    • Relevanz des Falls
  3. Forensische Header-Analyse (Praxisbeispiel zur Identifikation von Homoglyphen-Angriffen und Domain-Spoofing)
    • Absender, BCC, DKIM/DMARC, Infrastruktur
    • Infografik: Header-Flussdiagramm
  4. Spam-Pool-Ökonomie
    • Erklärung, Betreiber, Herkunft, warum BCC
    • Infografik: „Spam-Pool Lifecycle“
  5. HTML-Analyse
    • Legitimer vs. maliziöser Teil
    • Hidden Content (Bandcamp)
    • Infografik: HTML-Struktur-Mail
  6. Psychologische Trigger
    • Zeitdruck, Drohungen, Vertrauensanker
    • Icons für jede Manipulationstechnik
  7. Strategisches Ziel des Angriffs
    • Credential Harvesting, SIM-Swapping, Monetarisierung
  8. Lessons Learned
    • Für Security-Teams, Organisationen, Individuen
    • Checkliste
  9. Fazit
    • Meta-Level: Phishing als Ökosystem
    • Notwendigkeit von Awareness + Technik
  10. Anhang
    • Vollständiger Header als Referenz

Abonniere jetzt unsere Cyber-News!

Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

PhishingPhishing
Phishing-Simulationen: Zwischen Placebo und Pseudokontrolle
Phishing-Simulationen sind zur Modeerscheinung geworden. Kaum ein Anbieter, der nicht...
>>>
CybersecurityCybersecurity
Sicherheits-Upgrade für Microsoft Teams: Mehr Schutz vor...
Microsoft Teams bekommt ein deutliches Sicherheits-Upgrade: Ab September 2025 wirst...
>>>
SumUp: Dringende Kontoprüfung: Bitte sofort durchführenSumUp: Dringende Kontoprüfung: Bitte sofort durchführen
Gefälschte SumUp-Sicherheitswarnung: So erkennst du die Phishing-Falle
Phishing-Mails werden immer raffinierter. Besonders Angriffe, die bekannte Zahlungsdienstleister wie...
>>>
Tagged with: , , , , , , , , , , , ,

Kommentar zum Beitrag “Vorsicht, Phishing! Gefälschte Consorsbank-Mail: Sie haben eine wichtige neue Nachricht bezüglich Ihrer Telefonnummernverifizierung”

  1. Leo sagt:

    Danke für die Phishing-Warnung !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert