Phishing-E-Mails geben vor, die Kreditkarteninformationen von Qantas Target zu verwenden

In einem ausgeklügelten Phishing-Betrug stehlen gefälschte Qantas-E-Mails Kreditkarten- und persönliche Daten von Australiern und umgehen dabei die wichtigsten E-Mail-Sicherheitsfilter.

Die australische Fluggesellschaft Qantas wird von Kriminellen mit gefälschten E-Mails angegriffen, die angeblich von der Fluggesellschaft stammen. Sicherheitsexperten von Cofense Intelligence, die diesen Angriff entdeckten, stellten fest, dass diese überzeugenden E-Mails Nutzer dazu verleiten, ihre Kreditkartendaten und persönliche Informationen wie Telefonnummern und Adressen preiszugeben.

Diese gefälschten Qantas-E-Mails imitieren echte Marketing-E-Mails, verwenden dieselben Farben und dasselbe Layout wie die echten und verfügen über entsprechendes Branding und funktionale Links. Ein cleverer Trick der Kriminellen bestand darin, einen Abmeldelink in die E-Mails einzufügen, genau wie in echten Marketing-E-Mails.

Die Links in den gefälschten E-Mails führten jedoch nicht zur offiziellen Website von Qantas. Stattdessen führten sie zu anderen Websites. Experten vermuten, dass die Kriminellen diese gefälschten Abmeldelinks genutzt haben könnten, um zu sehen, welche E-Mail-Adressen echt und aktiv waren.

Interessanterweise wurde in den gefälschten E-Mails laut Cofense- Bericht erwähnt, dass Qantas sein 103-jähriges Jubiläum feierte. Tatsächlich fand das 103-jährige Jubiläum von Qantas jedoch erst 2023 statt, also vor zwei Jahren. Dies war einer der wenigen Fehler in den ansonsten sehr überzeugenden E-Mails.

Die E-Mails verleiteten Nutzer dazu, auf Links zu gefälschten Websites zu klicken. Diese enthielten oft die Phrase „auth/auhs1“, gefolgt von zufälligen Wörtern im Zusammenhang mit Qantas oder Coupons. Diese Websites verschwanden in der Regel innerhalb eines Tages und fragten in einem mehrstufigen Prozess nach persönlichen Daten wie Name, Telefonnummer, E-Mail-Adresse und Wohnadresse. Diese gesammelten Kontaktinformationen könnten zusammen mit dem Geburtsdatum für gezielte Betrugsversuche oder das Erraten von Passwörtern verwendet werden.

Diese gefälschten Websites versuchten angeblich, eine Multi-Faktor-Authentifizierung einzurichten, nachdem ein Nutzer seine Kreditkartendaten eingegeben hatte. Dies schlug jedoch fehl. Experten gehen davon aus, dass dieser zusätzliche Schritt dazu diente, die Opfer glauben zu machen, dass das Problem bei ihnen und nicht bei der Website liege.

Forscher stellten fest, dass die Cyberkriminellen hinter dieser Kampagne offenbar insbesondere Menschen in Australien ins Visier nahmen. Obwohl auch einige Menschen in den USA diese E-Mails erhielten, waren die Angebote in australischen Dollar verfasst, und Qantas hat seinen Sitz in Australien.

Dies deutet darauf hin, dass die Angreifer australische Opfer bevorzugten. Darüber hinaus betonten sie, dass die Kampagne mehrere Secure Email Gateways (SEGs) erfolgreich umging, darunter Microsoft APT, Proofpoint und Mimecast, was auf einen ausgeklügelten Ansatz der Angreifer hindeutet.

Diese Kampagne begann etwa im Februar 2025, schien aber Mitte März 2025 nachzulassen. Sie zeigt, wie Kriminelle ständig neue und raffinierte Methoden ausprobieren, um Menschen online auszutricksen. Daher ist es wichtig, dass jeder sehr vorsichtig ist, welche E-Mails er erhält und welche Websites er besucht.