FFP2-Masken: Der Betrug, der doch keiner war

03.02.2021
G DATA Blog

Sich eine Mail genau anzuschauen und kritisch zu bewerten hat schon so manchen Nutzer davor bewahrt, auf Betrüger hereinzufallen. Dies ist eine Geschichte über eine Mail, die auf den ersten Blick nichts Gutes vermuten ließ.

Es war an einem Mittwoch, als ich eine Mail weitergeleitet bekam mit dem Kommentar „schon echt eine krasse Mail…“. Dazu muss man wissen, dass wir natürlich auch in unseren Postfächern einiges an Spam erhalten. Das meiste davon ist nicht besonders erwähnenswert und verschwindet meist sang- und klanglos im Papierkorb. Da wir aber immer auf der Suche nach Geschichten sind, die wir erzählen können, werfen wir auf manche Mails einen etwas genaueren Blick. So auch bei dieser.

„…und Schweine können fliegen.“

Die Betreffzeile lautete „Atemschutzmaske-Dekra zertifiziert-KN95-FFP2“. Darin enthalten war ein Text, der relativ austauschbar schien, und die im Betreff genannten Masken anpries. Es seien „die Einzigen mit deutschem Zertifikat“, die man dort erwerben könne. Darunter eine Grafik mit einem Bestellformular und etwas, das wie eine Bescheinigung der DEKRA aussah für besagte Masken. Es war nicht die erste Mail dieser Art, die wir gesehen hatten, aber die erste, die zumindest auf den ersten Blick echt aussah. Daher schlug unser interner „Da ist doch was faul-Sensor“ an. Wir waren fest davon überzeugt, dass wir es hier mit einem Betrugsversuch zu tun hatten. Allerdings enthielt die Mail fehlerfreies Deutsch, eine Mail-Domain, die oft von deutschen Kunden genutzt wird und sogar eine Telefon- und eine Faxnummer aus Deutschland. Das war schon eher ungewöhnlich, aber nicht unmöglich: Auch andere Mails, die sich hinterher als nicht-legitim entpuppt haben, beinhalteten solche Kontaktdaten. Weiterleitungen auf andere Anschlüsse außerhalb des Landes sind ebenfalls weder schwer umsetzbar, noch selten. Sofort begann ich damit, die in der Mail enthaltenen Informationen näher unter die Lupe zu nehmen. Da war zum einen der Name des angeblichen Absenders enthalten. Seine Firma befinde sich in einer Stadt in Norddeutschland. Eine Google-Suche ergab, dass eine Person mit diesem Namen tatsächlich ein Kleinunternehmen in der angegebenen Stadt besitzt. Auch die Vorwahl der Telefon- und Faxnummer passte zu dem genannten Ort. Aber selbst das ist kein ausschlaggebendes Indiz dafür, ob eine Mail legitim ist oder nicht. Es ist für Kriminelle nämlich sehr einfach, Firmendaten zu missbrauchen und zum Beispiel im Namen eines tatsächlich existierenden Unternehmens Rechnungen oder Mahnungen zu versenden – selbstverständlich mit dem Ziel, Zahlungen zu erwirken, die dann auf dem Bankkonto der Täter landen.

Kleine Details

Also warf ich einen Blick auf die beiden Grafiken in der Mail – den Bestellschein und das DEKRA-Dokument. Oben auf dem Bestellschein prangte ein großes rotes Kreuz – man könnte durchaus den Eindruck bekommen, dass das Deutsche Rote Kreuz hier federführend ist, wäre da nicht in schwarzen Lettern der Name der Webseite quer über das Kreuz geschrieben. Ein Foto auf dem Bestellschein zeigte die angebotene Maske. Bei genauerem Hinsehen waren sogar Hersteller und Typ erkennbar. Dann gab es da noch die angebliche Prüfbescheinigung der DEKRA. Anders als manche vielleicht vermuten, führt die DEKRA tatsächlich Prüfungen für Gesichtsmasken durch. Eines der Prüflabore befindet sich übrigens auch in Bochum, gar nicht so weit vom G DATA Campus entfernt. Und auch die Prüfbescheinigung enthielt Informationen zu der angepriesenen Maske. Die Bezeichnung und der Hersteller stimmten mit dem überein, was im Bild auf den Bestellschein zu erkennen war. Auch der in der Bescheinigung erwähnte Auftraggeber stimmte mit den Daten des angeblichen Absenders überein. Hier wurde ich das erste Mal stutzig.

Erste Zweifel

Sollte es sich hier wirklich um einen Phishing- oder Betrugsversuch handeln, dann hatte hier jemand wirklich sehr sorgfältig gearbeitet. Sonstige Mails, die in betrügerischer Absicht versendet werden, halten hier maximal einer flüchtigen Sichtprüfung stand. Dazu kommt, dass auf dem Dekra-Dokument  diverse EU-Vorschriften aufgeführt waren, die das Prüfverfahren und die Rechtsgrundlage für die Prüfung beschrieben. Auch diese angeführten Vorschriften existieren tatsächlich und passen zum in der Mail beschriebenen. Das ist für betrügerische Nachrichten wirklich ungewöhnlich. Dort werden zwar auch oft irgendwelche Vorschriften und Paragraphen aus verschiedenen Gesetzestexten angeführt, allerdings sollen solche Auflistungen von Paragraphen nur Eindruck machen – und die angeführten Paragraphen stellen sich bei näherer Recherche entweder als Erfindung heraus oder haben mit dem beschriebenen Sachverhalt nichts zu tun. Hier haben wir also ein weiteres Detail, das stimmig war. An diesem Punkt schrieb ich auch an die Kollegen, dass ich langsam ernsthafte Zweifel daran hege, dass es sich hier um Betrug oder Phishing handeln könnte. Kurz zuvor hatte ich noch die Domain des verlinkten Webshops abgefragt – und obwohl seit der DSGVO der Informationsgehalt von whois- und denic-Anfragen deutlich zurückgegangen ist, konnte ich sehen, dass das Prüfdatum und die Registrierung der Domain ebenfalls nicht weit auseinander lagen – die Bescheinigung war datiert auf Mitte Mai 2020, die Registrierung der Domain erfolgte Anfang Juni. Auch das schien plausibel. Der Webshop ist mit einer bekannten Plattform aufgesetzt, die auch PayPal als Zahlungsweg anbietet. Ein kurzer Test zeigte, dass auch der Bezahl-Link tatsächlich auf die echte Paypal-Seite verwies und nicht auf eine Phishing Seite. Insgesamt gab es zu diesem Zeitpunkt also zu viele Faktoren, die zu konsistent und stimmig waren. Und wenn es sich dennoch um einen Betrugsversuch handeln sollte, würde ich mich nicht allzu schlecht dabei fühlen, würde ich darauf hereinfallen – denn da hätte jemand seine Hausaufgaben wirklich gut gemacht. Viel besser als eine schnell und einfach zusammengeschusterte Mail.

Kontakt

Die Hinweise, denen ich nachgehen konnte, waren damit erschöpft. Beinahe jedenfalls, denn zwei Dinge konnte ich noch versuchen, nachzuprüfen: die Authentizität der DEKRA-Bescheinigung – UND die Kontakt-Telefonnummern. Bei der DEKRA-Zentrale war man zwar freundlich und hilfsbereit, wies mich aber darauf hin, dass das jegliche Informationen zu persönlichen Daten ausschließlich dem Auftraggeber mitgeteilt würden, sowie auch dem Gewerbeaufsichtsamt. Anfragen von Dritten über den Auftraggeber würden grundsätzlich nicht beantwortet. Hier hatte ich also auf Granit gebissen. Da ich jetzt nicht auch noch eine Anfrage an das Gewerbeaufsichtsamt stellen wollte – die vermutlich Tage, wenn nicht Wochen gedauert hätte, war diese Spur also hier zu Eende. Also blieb noch die Kontaktnummer aus der Mail. Sofort meldete sich eine freundliche Stimme und bestätigte mir, dass ich richtig sei. Es folgte ein kurzes Gespräch. Wie bereits vermutet hat hier ein Firmeninhaber aufgrund der Corona-Krise beschlossen, auch Gesichtsmasken mit ins Sortiment aufzu nehmen. Er gehe nun gezielt per Mail auf Firmen zu, die möglicherweise Bedarf an Gesichtsmasken haben könnten.

Gemischte Gefühle

Unter dem Strich ließ diese Geschichte mich mit gemischten Gefühlen zurück. Zwar stellte sich heraus, dass diese Mail doch legitim war. Andererseits werfen solche Nachrichten auch Fragen auf…denn nicht jeder verbringt knapp eine Stunde mit solchen Recherchen. Über die Strategie hinter der Mail lässt sich sicherlich streiten. Aber es scheint sich herauszukristallisieren, dass legitime Angebote zu einem aktuellen Thema wie eben der Corona-Pandemie schnell in der Flut von bösartigen und betrügerischen Mails untergehen. Bei all dem muss man aber auch bedenken: Wir sind bei G DATA CyberDefense vielleicht noch ein bisschen kritischer wenn es um Mails geht, denn wir sehen wirklich eine Menge an Nachrichten, die letztlich auf Betrug und Phishing hinaus laufen – und die COVID19-Pandemie ist für viele Kriminelle ein nahezu perfekter Vorwand.

Unter die Räder gekommen

Solche bösartigen Mails schaden also nicht nur denjenigen, die auf betrügerische Angebote und Phishing hereinfallen. Sondern sie schaden auch denjenigen, die tatsächlich legitime und passende Angebote haben. Gerade in einer Zeit, in der Klein- und Kleinstbetriebe jede Möglichkeit nutzen, die Krise zu überstehen, kann eine von einem Betrüger gesendete Mail auch die Chance für legitime Unternehmen ruinieren, Kunden zu gewinnen. Das soll jetzt aber auf keinen Fall heißen, dass Nutzer bei jeder eingehenden Mail, die legitim aussieht „im Zweifel für den Angeklagten“ entscheiden sollten – aber vielleicht bedeutet das auch, dass Werbung per Mail nicht unbedingt der ideale Weg ist, Produkte an den Mann oder die Frau zu bringen. Es sollte jedenfalls nicht der einzige sein. Gerade wenn in diesem Themenbereich eine Menge Betrüger unterwegs sind. Denn sonst geraten auch diese Unternehmen unter die Räder.

Tim Berghoff
Security Evangelist