Betrugsmails: Die Abzocke mit Covid-19 boomt

18 Millionen betrügerische E-Mails: So viel fischt derzeit allein Google aus dem Netz - pro Tag. Einige Websites erleichtern Kriminellen allerdings ihr Vorgehen. Auch die WHO muss nachbessern.

Achtung, Betrug: Auch beim Thema Spenden sollte man vorsichtig sein

Foto: Andreas Krone/ imago images

Vermeintlich wohlhabende Prinzen und reiche Witwen bekommen als Lockmittel ernsthafte Konkurrenz: Online-Kriminelle setzen verstärkt auf das Thema Coronakrise. Mit Anspielungen auf den Erreger Sars-Cov-2 und die Lungenkrankheit Covid-19 versuchen sie, gutgläubige und verängstigte Nutzer auszutricksen. Mittlerweile landen jeden Tag Millionen betrügerischer E-Mails mit Corona-Bezug in der Betreffzeile in den Postfächern rund um den Globus.

Allein Google hat in der vergangenen Woche bei seinem E-Mail-Dienst Gmail täglich rund 18 Millionen Corona-Nachrichten herausgefiltert, die durch Phishing-Links oder Schadcode im Anhang auffielen. Das teilte der US-Konzern am Donnerstag in einem Blogbeitrag mit . Zusätzlich seien pro Tag 240 Millionen klassische Spamnachrichten mit Bezug auf das neuartige Coronavirus entfernt worden, hieß es. Wie viele deutschsprachige E-Mails darunter sind, ist unklar: Eine entsprechende SPIEGEL-Nachfrage wurde von Google nicht beantwortet.

Der Schaden durch die Corona-Betrugswellen ist enorm. Allein in den USA sollen die Bürger laut der Handelskommission FTC umgerechnet mehr als zwölf Millionen Euro an Betrüger verloren haben, weil Covid-19 in E-Mails, auf Websites und bei Anrufen  als Vorwand genutzt wurde. Seit Anfang Januar seien mehr als 18.000 Meldungen zum Thema bei der FTC eingegangen.

WHO vernachlässigt Domainschutz

Ein unbedachter Klick auf einen Link in Phishing-Nachrichten oder eine infizierte Datei im Anhang kann ernste Folgen haben: Die Täter treten meist unter falschem Namen auf und haben es auf Geld, Kreditkartendaten und Passwörter der Opfer abgesehen. So machen Kriminelle übers Netz Kasse, indem sie vorgeben, im Kampf gegen Covid-19 Spenden für die Weltgesundheitsorganisation (WHO) zu sammeln.

Dafür missbrauchten Betrüger sogar schon die offizielle WHO-Domain. Sie konnten es so aussehen lassen, als wäre ihre E-Mail von jener Domain abgesendet worden, da offenbar das Schutzsiegel DMARC (Domain-based Message Authentication, Reporting and Conformance) nicht streng genug eingestellt war. Kriminellen war es dem Nachrichtenportal "Vox" zufolge so gelungen , eine E-Mail mit dem Absender donate@who.int zu verschicken. Der einzige offenkundige Hinweis auf den Betrug: Die Kriminellen forderten Spenden in Form von Bitcoin.

Google arbeitet nach eigenen Angaben mit der WHO zusammen und soll ihr bereits signalisiert haben, wie wichtig eine schnelle Umsetzung von DMARC sei. Für die Schutztechnik hatten sich vor acht Jahren unter anderem Google, Facebook und Paypal zusammengeschlossen, um Phishing-Attacken mit gefälschten E-Mails zu unterbinden.

Laut einer Studie der Prüfplattform "Valimail" setzen bereits eine Million Websites auf das DMARC-Protokoll : Aber nur 13 Prozent davon nutzen offenbar jene Konfiguration, mit der sich das sogenannte E-Mail-Spoofing unterbinden lässt. Bei allen anderen Seiten ist es laut "Valimail" bildlich gesprochen so, als prüfe ein Türsteher zwar alle Ausweise. Letztlich werde aber trotzdem jeder reingelassen - ob er auf der Gästeliste stehe oder nicht.

Ransomware steckt im Word-Dokument

Betrüger nutzen dieser Tage zudem aus, dass viele Mitarbeiter derzeit im Homeoffice arbeiten. In ihren Nachrichten stehen dann Sätze wie: "Wir haben vergeblich versucht, Sie telefonisch im Büro zu erreichen." Angehängt ist ein infiziertes Dokument. In anderen E-Mails bitten vermeintliche Personalverantwortliche die Empfänger darum, im Auftrag des Unternehmens ein Onlineformular auszufüllen.

Bei solchen dubiosen E-Mails sollte man darauf verzichten, auf Links oder Anhänge zu klicken, da sich dahinter entweder Schadprogramme, aber auch Verweise auf gefälschte Websites verbergen können.

Das gilt auch für die Anhänge von E-Mails, die zuletzt im Namen des Gesundheitsministeriums verschickt worden waren. Das LKA Niedersachsen warnte davor , auf Word-Dateien mit der Bezeichnung "Krankschreibung.doc" in solchen Nachrichten zu klicken, da es sich um einen Betrugsversuch handelt.

Im E-Mail-Anschreiben geben die Betrüger an, den Empfänger darüber informieren zu wollen, wie sich das Coronavirus auf Urlaub und Krankmeldungen auswirke. Tatsächlich wird über die Datei aber ein Trojaner namens Trickbot aktiviert, der Daten auf dem Rechner verschlüsselt. Die Betrüger verlangen Geld für den Freischaltcode.

"Öffnen Sie unter keinen Umständen den Mail-Anhang unter Windows mit Ihrem Microsoft-Office-Paket", hieß es in der Mitteilung des LKA. Wer die Ransomware versehentlich aktiviert hat, der soll Anzeige bei der Polizei erstatten.

Sicherheitsforscher von Malwarebytes gehen davon aus, dass sich die Lage vorerst nicht bessern wird. Laut einem Bericht der IT-Firma von Freitag setzen seit Ende Januar auch staatlich geförderte Hacker auf Phishing-Angriffe mit Corona-Bezug. Die Aktivitäten folgten demnach der Spur des Virus "von China über Nordkorea bis nach Russland". Die Forscher gehen daher davon aus, dass Kriminelle in den kommenden Wochen und Monaten "die Coronakrise weiterhin für gezielte Cyberangriffe ausnutzen werden".