Befunde der Corona Massentests sehen wie Phishing-Mails aus
Dieser Artikel ist älter als ein Jahr!
Wer bei einem der Corona Massentests in Österreich teilnimmt, erfährt in manchen Bundesländern das Ergebnis gleich vor Ort. In anderen wird es per Mail oder SMS nachgeschickt.
Ein schriftlicher Befund zum Mitnehmen oder per Postzustellung ist jedenfalls nicht vorgesehen. Den Befund kann man sich aber im Nachhinein ausdrucken, sobald der auf dem Massentest-Portal abrufbar ist. Die E-Mail, die darüber informiert, löst aber bei einigen Usern Zweifel aus.
Auch bei der futurezone haben sich Nutzer gemeldet und das Mail weitergeleitet. Auf den ersten Blick erfüllt es tatsächlich viele Kriterien für ein Phishing-Mail. Mit solchen E-Mails wird versucht das Opfer auf eine Website mit Schadcode zu locken oder auf gefälschte Websites, die sie zur Eingabe von persönlichen Daten und Zahlungsdaten auffordern.
Kryptische URL
Die Mail mit dem angeblichen Befund kommt von „noreply@xn--sterreich-testet-lwb.at“ anstatt von einer „österreich-testet.at“-Adresse. Der Betreff lautet lediglich „Screening Portal – Befund“, was kryptisch wirkt. Der Link, den man anklicken soll, lautet etwa: „https://msp.world-direct.at/dmr/Q7Va55nFMknSlV02HZndABATiBlaN7beWbvAWmWNwS1“ (Code wurde von der Redaktion verfälscht). Eine Signatur am Ende oder weitere Erklärungen gibt es nicht.
Hier kann man aber Entwarnung geben. Überprüft man die URL mit einer Whois-Abfrage, findet man heraus, dass sie tatsächlich vom Sozialministerium registriert wurde. Und hinter world-direct.at steckt das Unternehmen, dass die Online-Plattform österreich-testet.at für die Regierung entwickelt hat. Auch der Link führt tatsächlich zu der Eingabe der Daten, um den Befund online einsehen zu können.
"Schönheitsfehler"
Auf Nachfrage hat World Direct der futurezone bestätigt, dass es sich dabei um echte E-Mails der Plattform handelt. Die futurezone hat bei World Direct noch nachgefragt, warum diese Mails so missverständlich gestaltet sind.
„xn--sterreich-testet-lwb.at“ ist demnach PunyCode. Damit werden Umlaute „übersetzt“ für Systemsprachen, in denen es keine Umlaute gibt. Das „xn--“ steht PunyCode voran. Die Endung „-lwb“ bestimmt im PunyCode die Position des Umlauts. Laut World Direct handle es sich deshalb nur um einen „Schönheitsfehler“.
Warum wurde die Domain world-direct.at genommen für die Befunde, anstatt österreich-testet.at? Schließlich könne man ja nicht voraussetzen, dass jeder Österreicher weiß, wer World Direct ist. Laut World Direct war das eine Maßnahme, um Zeit zu sparen, da für die Realisierung der Plattform nur eine Woche Zeit war.
Phase 2
Die 43 Zeichen in der URL sind laut World Direct ein Security-Token. Damit wird unter anderem überprüft, von welchem Gerät aus der User zugreift. Erfolgt der Zugriff von verschiedenen Geräten, muss der User beim Abrufen des Befundes zusätzlich sein Geburtsdatum eingeben. So soll sichergestellt werden, dass der Befund nicht in falsche Hände gerät.
Laut World Direct handelt es sich bei den angesprochenen Problemen „nicht notwendige Änderungen“, die erst in Phase 2 korrigiert werden. Dies wurde mit dem Ministerium so abgesprochen. Die Phase 2 startet ab dem 15. Dezember. Damit werden auch die nächsten Corona-Massentest-Runden vorbereitet.
Vorsichtig bleiben
Dennoch sollte man weiter vorsichtig bleiben. Aufgrund der eigenwilligen Formatierung könnten Cyberkriminelle sehr wohl versuchen, diese Mails nachzuahmen, mit dem Ziel User in die Falle zu locken.
Die Befunde werden nicht als Anhang verschickt, also sollten diese in dubiosen Mails nicht geöffnet werden. Bevor man den Link anklickt, kann man am Computer mittels Mouse-Over (Cursor auf dem Link platzieren) kontrollieren, ob die URL wirklich zu https://msp.world-direct.at/ führt. Bei den meisten Android-Smartphones kann die URL überprüft werden, indem man länger mit dem Finger darauf tippt, bis ein Pop-Up-Menü erscheint.
Kommentare