Wie sieht die Mailnachricht aus?

Das Opfer erhält eine Nachricht mit einem sehr simplen Text, dass ein Bauvorhaben zur Ausschreibung steht.

Von: RKW Architektur + <aaa@aaa.aa> Gesendet: Montag, 14. November 2022 04:31 An: info <yyy@yyy.yy> Betreff: [Check] Angebotsbearbeitung
Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie unsere Preisanfrage zum anbei Bauvorhaben. Über ein Angebot wären wir Ihnen sehr verbunden.
Ausschreibung https://www.xxxx.de
Mit freundlichen Grüßen
Victoria Helbig
-Bauleitung-
RKW Architektur +
Rhode Kellermann Wawrowsky GmbH
Rechtsform GmbH
Sitz Düsseldorf
Anschrift Tersteegenstraße 30, 40474 Düsseldorf
Registergericht Amtsgericht Düsseldorf
Registernummer HRB 35544
USt.-ID-Nr. nach § 27a UStG: DE 242 756 044
Berufsrechtliche Regelungen
Für die in Deutschland zugelassenen Architekten in Nordrhein-Westfalen sind die maßgeblichen berufsrechtlichen Regelungen insbesondere das Baukammerngesetz für Nordrhein-Westfalen (BauKaG NRW), die Verordnung zur Durchführung des Baukammerngesetzes (DVO BauKaG NRW), die Honorarordnung für Architekten und Ingenieure (HOAI) und die berufsrechtlichen Regelungen für Architektinnen und Architekten Nordrhein-Westfalens. Diese sind abrufbar unter www.gesetze-im-internet.de bzw. auf der Website der Landesarchitektenkammer für Nordrhein-Westfalen unter www.aknw.de/recht/gesetze-und-verordnungen


So kann die Phishingseite identifiziert werden

Nachdem Sie den Link geöffnet haben werden Sie auf eine Seite im Stil von Office Welcome oder Microsoft 365 weitergeleitet.
Die folgenden Punkte entlarven die Seite:

1. Die Seite kann in erster Linie ohne Passwort geöffnet werden. Normalerweise muss eine Authentifizierung erfolgen bevor Inhalte von anderen Microsoft Konten angezeigt wird.
2. Oben rechts bei den Login Informationen stehen nicht die eigenen Microsoft Anmeldedaten.
3. Die Seite ist nicht sauber responsiv. Wird dies Seite verkleinert schiebt sich der Inhalt unter den Fensterrand.
4. Mouseover Effekte sind schlecht, werden teilweise falsch ausgelöst (vor allem bei der unteren Liste).
5. Alle Links, egal wo man klickt laufen auf «xxx.xxxxxx.xxx/loading1».
   Diesen Link sieht man nach dem Klick in der Adressleiste.
   Nach erfolgter Eingabe der persönlichen Daten geht es weiter zu «loading2»
6. Der Header der Seite zeigt «WIX» Inhalte.
7. Am Ende wird ein komisches PDF angeboten.

Was tun wenn man reingefallen ist?

• Ändern Sie sofort Ihr Passwort für Ihr Microsoft Konto.
• Ändern Sie die Passwörter bei allen Diensten bei welchen Sie das gleiche Passwort verwenden.
• Falls es ein Firmenlogin betrifft, Informieren Sie Ihren Systemadministrator umgehend damit er weitere Sicherheitsvorkehrungen einleiten kann.

So sieht die Phishingseite aus