Vorsicht vor gefälschten IHK-E-Mails: In den letzten Tagen kursieren gefälschte E-Mails (Fakes), die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser E-Mail werden Unternehmen aufgefordert, ihre Handelsregister-Daten zu überprüfen, da ansonsten rechtliche Konsequenzen drohen. Doch Achtung: Es handelt sich hierbei um eine betrügerische Phishing-Mail! Wir haben die Nachricht inklusive des E-Mail-Headers und des Inhalts genau analysiert und zeigen, woran man den Betrug erkennt.

Zunächst machen wir uns ein Bild von der IHK-Fake-Mail

Analyse des E-Mail-Headers: Verdächtige Absenderadresse

Auszug aus dem E-Mail-Header (Kopfzeilen der Nachricht)

Von: IHK <ihk@jesk.org>
Betreff: Wichtige Mitteilung: Überprüfung Ihrer Unternehmensdaten im Handelsregister
X-Spam-Flag: NO
Received: from mail.jesk.org ([185.26.236.186])
dkim-signature: v=1; a=rsa-sha256; d=jesk.org; s=mydkim; c=relaxed/relaxed;q=dns/txt; h=From:Subject:Date:Message-ID:To:MIME-Version:Content-Type:Content-Transfer-Encoding...
Received: from vkoesi (vkoesi [185.26.236.186]) by mail.jesk.org with ESMTPA; Wed, 29 Jan 2025 16:00:56 -0800

Ein Blick auf den E-Mail-Header gibt bereits erste Hinweise auf die Echtheit der Nachricht. Die gefälschte E-Mail wurde von folgender Adresse verschickt: Von: IHK <ihk@jesk.org>

Öffentlich verfügbare Informationen über die Domain „jesk.org“:

• Registrierungsdatum: Die Domain jesk.org wurde am 15. Januar 2025 registriert.
• Registrar: Die Domain wurde über den Registrar „NameCheap, Inc.“ registriert.
• Registrierungsdetails: Die Registrierungsinformationen sind anonymisiert, so dass die Identität des Domaininhabers nicht öffentlich einsehbar ist.

Die echte Industrie- und Handelskammer nutzt die offizielle Domain ihk.de oder regional z. B. www.ihk.de/elbeweser oder www.ihk.de/berlin. Die Domain jesk.org ist natürlich keine offizielle IHK-Domain, somit haben wir bei der „Von-Adresse“ bereits ein klares Indiz für eine betrügerische E-Mail.

Analyse der IP-Adresse des Absenders: 185.26.236.186:

Ein weiterer kritischer Punkt ist die Absender-IP 185.26.236.186, die zu einem Hosting-Anbieter in den Niederlanden gehört:

• Zugehörigkeit: Diese IP-Adresse gehört zum Netzwerkbereich 185.26.236.0 - 185.26.236.255.
• Netzwerkname: Der zugehörige Netzwerkname ist VKOESI.
• Organisation: Die IP-Adresse ist einem Hosting-Anbieter aus den Niederlanden zugeordnet.
• Land: Die IP-Adresse ist in den Niederlanden registriert.

Die IP-Adresse 185.26.236.186 ist mit einem Hosting-Dienst in den Niederlanden verbunden, und die Domain jesk.org wurde kürzlich registriert und anonymisiert. Diese Faktoren, kombiniert mit der vorherigen Analyse des E-Mail-Headers, beweisen, dass die E-Mail nicht von einer legitimen Quelle stammt.

DKIM-Signatur: Zusätzlich enthält die Nachricht eine DKIM-Signatur, die jedoch nur die Echtheit der betrügerischen Domain jesk.org bestätigt – nicht aber die der IHK!

Analyse des Nachrichtentextes: Typische Phishing-Merkmale

Die betrügerische E-Mail nutzt geschickte Taktiken, um Empfänger unter Druck zu setzen und sie zu unüberlegten Handlungen zu bewegen. Der Text lautet:

Sehr geehrte Damen und Herren,

wir möchten Sie darauf aufmerksam machen, dass wir einmal jährlich eine Überprüfung der Einträge im Handelsregister durchführen, um die Genauigkeit und Aktualität der Unternehmensinformationen zu gewährleisten. Diese Maßnahme ist von erheblicher Wichtigkeit, da die ordnungsgemäße Verwaltung dieser Daten eine gesetzliche Anforderung darstellt.

Unsere Aufzeichnungen zeigen, dass seit längerer Zeit keine Anpassungen an den grundlegenden Informationen Ihres Unternehmens vorgenommen wurden. Daher möchten wir Ihnen die Gelegenheit geben, Ihre Unternehmensdaten zu überprüfen und gegebenenfalls zu aktualisieren.

Bitte nutzen Sie den folgenden Link, um Ihre Unternehmensdaten zu überprüfen: Hier klicken

Wir bitten Sie, diese Überprüfung innerhalb von drei Werktagen abzuschließen. Sollten wir feststellen, dass bestimmte Unternehmensdaten ungenau oder veraltet sind und Sie keine entsprechenden Maßnahmen ergreifen, sehen wir uns gezwungen, rechtliche Schritte einzuleiten.

Mögliche Folgen könnten sein:
Eine Geldbuße von bis zu 2.500 €
Die endgültige Löschung Ihres Unternehmens aus dem Handelsregister

Wir sind zuversichtlich, dass Sie dieser Verpflichtung zeitnah und sorgfältig nachkommen. Bei Fragen oder Unsicherheiten stehen wir Ihnen jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen,

Industrie- und Handelskammer

Warum dieser Text verdächtig ist:

1. Fehlende spezifische Angaben

• Keine direkte Ansprache: Seriöse Behörden und Institutionen sprechen Unternehmen immer mit dem korrekten Firmennamen oder dem Namen des Ansprechpartners an. „Sehr geehrte Damen und Herren“ ist unpersönlich und deutet auf eine Massen-E-Mail hin.
• Keine individuelle Referenznummer oder Firmendaten: Offizielle Schreiben enthalten in der Regel eine Mitglieds-, Referenz-, Akten- oder Registernummer.

2. Druck durch Drohungen und Dringlichkeit

• Drohung mit rechtlichen Konsequenzen: Die Mail droht mit einer Geldstrafe von bis zu 2.500 € und der Löschung aus dem Handelsregister. Die IHK würde Unternehmen nicht per E-Mail mit Geldbußen oder der Löschung aus dem Handelsregister drohen.
• Erpressungsähnliche Formulierungen sind ein typisches Merkmal von Phishing-Mails: Solche drastischen Maßnahmen würden in Deutschland niemals per E-Mail angekündigt werden, sondern in Schriftform per Post.
• Dringlichkeit: Die Aufforderung, innerhalb von drei Tagen zu reagieren, ist eine klassische Betrugstaktik.

3. Der Call-to-Action: Gefährlicher Link

• „Hier klicken“ ist verdächtig, weil: Offizielle IHK-Mitteilungen würden eine korrekte URL angeben (z. B. ihk.de oder eine regionale Unterseite).
• Verdächtiger Link: Bei dem Link „Hier klicken“, der zur URL: http://myconveyor.de/ führt, handelt es sich um eine unseriöse Verlinkung. Der Link führt den Benutzer auf eine gefälschte Website, die darauf ausgelegt ist, Daten zu stehlen. Diese Domain wird vermutlich nur für Phishing mißbraucht.
• Seriöse Institutionen fordern Unternehmen nicht auf, per unspezifischem Link Daten zu aktualisieren.

4. Keine Kontaktdaten, kein Impressum der IHK

• Keine echte IHK-Kontaktdaten: Es fehlen Telefonnummer, Adresse oder andere Kontaktmöglichkeiten. Offizielle IHK-Nachrichten enthalten immer ein Imressum und somit auch die zuständige regionale Kammer (z. B. IHK Berlin, IHK München).
• Keine gesetzliche Grundlage genannt: Ein echter rechtlicher Hinweis würde auf konkrete Gesetze (z. B. § 14 HGB) Bezug nehmen.

So schützt du dich vor Phishing-Angriffen

Falls du eine ähnliche E-Mail erhalten solltest, beachte folgende Sicherheitsmaßnahmen:

• Vorsicht walten lassen: Nicht auf den Link klicken oder Anhänge öffnen!
• E-Mail als Phishing melden: Leite die E-Mail an deine IT-Abteilung oder an zuständige Stellen weiter, um weitere Untersuchungen oder Warnmeldungen zu ermöglichen (z. B. an die echte IHK oder an phishing@bsi.bund.de)
• Überprüfung: Falls du bereits mit der E-Mail interagiert hast, überprüfe deine Systeme auf mögliche Sicherheitsverletzungen und ändere gegebenenfalls deine Passwörter.
• Offizielle IHK-Website besuchen (www.ihk.de) und dort nach Phishing-Meldungen und/oder Prüfoptionen suchen. Im Zweifelsfall rufe bei der für dich zuständigen Kammer an.

Fazit: Betrugsversuch eindeutig erkennbar

Die gefälschte IHK-E-Mail nutzt eine abwegige Absenderadresse, Druckmittel wie Geldstrafen und unseriöse Links, um Unternehmen zur Herausgabe sensibler Daten zu bewegen. Wer genau hinsieht, kann solche Phishing-Versuche entlarven und sich effektiv davor schützen.

Bleibe wachsam und prüfe E-Mails immer kritisch – insbesondere dann, wenn es um sensible Unternehmensdaten und Geldstrafen geht!

Stets auf dem Laufenden bleiben: In unserem alle 4 Wochen erscheinenden Newsletter erhältst du, neben vielen anderen hilfreichen und spannenden Sicherheits-Themen, auch Tipps, aktuelle Hinweise und Empfehlungen zu den Themen Spam, Scam und Phishing.