EU-Coronahilfen: Betrüger zielen auf T-Online-Nutzer

Erneut kursieren Tausende E-Mails mit einem falschen Antragsformular für Corona-„Überbrückungshilfe II für Unternehmen, Betriebe, Selbstständige, Vereine und Einrichtungen“, die angeblich vom Europäischen Rat und vom Bund gemeinsam angeboten und von Mitarbeitern der Europäischen Kommission in Deutschland durchgereicht werden.

Betroffen sind laut EU-Kommission derzeit vor allem Nutzerinnen und Nutzer von T-Online, da die Empfängerinfrastruktur hinter T-Online „offenbar keine Herkunftsüberprüfung“ der betrügerischen E-Mails durchführt. Die Ansage dazu ist eindeutig:

Öffnen Sie diese E-Mails nicht! Es handelt sich um einen Betrugsversuch böswilliger Akteure, um an sensible Unternehmensdaten zu kommen. Die Polizei und die Deutsche Telekom sind informiert.

Betrüger sind seit Monaten aktiv

Seit einigen Monaten versenden Betrüger Phishing-Mails vor allem an kleine und mittlere Unternehmen im deutschsprachigen Raum. Sie geben sich als Mitarbeiter der Europäischen Kommission aus und stellen EU-Coronahilfen, einen Corona-„Weihnachtsbonus“ oder „Überbrückungsgeld II“ in Aussicht.

Ihr Ziel ist offenbar, sensible Daten über die Unternehmen zu erhalten, indem sie mit „EU-Coronahilfen“ ködern. Dazu werden die Unternehmen gebeten, ein Formular mit sensiblen Daten auszufüllen und an eine andere Adresse (nicht @ec.europa.eu) zurückzuschicken.

Vor allem T-Online-Nutzer betroffen

Derzeit sind vor allem T-Online-Nutzer betroffen. Tausende T-Online-Nutzer erhalten laut EU-Kommission betrügerische E-Mails, die aussehen, als kämen sie von Mitarbeitern der Kommission. Neuerdings sind die Betrüger von nicht existierenden @ec.europa.eu-Adressen auf bestehende persönliche Mailadressen umgestiegen – im aktuellen Fall vom Sprecher der Europäischen Kommission in Deutschland, Reinhard Hönighaus.

Zu den Hintergründen heißt es:

Es wurden dazu keine E-Mail-Konten der Europäischen Kommission gehackt, sondern von Kriminellen nachgeahmt. Die Nachahmung der Mail-Domain der Kommission kann nur dann erfolgreich sein, wenn die Infrastruktur des Empfängers dieser bösartigen Mails keine Herkunftsüberprüfung mittels „Sender Policy Framework“, kurz SPF durchführt, da die Kommission eine SPF-Politik über den entsprechenden Kanal veröffentlicht hat. Wie bei einigen anderen Anbietern führt die Empfängerinfrastruktur hinter @t-online.de keine SPF-Prüfung durch.

Die Deutsche Telekom hat gegenüber der Vertretung der Europäischen Kommission in Deutschland Gegen- und Kommunikationsmaßnahmen angekündigt.