Warnung vor Phishing-Mail

Fälscher wollen DAV-Portal kapern Patrick Hollstein, 24.12.2021 12:26 Uhr

Keine Daten eingeben! Offenbar versuchen Kriminelle, sich durch Mails an Apotheken Zugang zum Zertifikate-Server zu verschaffen. Screenshot
Berlin - 

Warum Impfpässe fälschen, wenn man selbst Zertifikate ausstellen kann? Kurz vor Weihnachten werden Apotheken offenbar Ziel eines Phishing-Angriffs: Betrüger fordern in einer E-Mail die Inhaber:innen dazu auf, sich im DAV-Portal einzuloggen und die neuen AGB zu bestätigen. Ziel ist es anscheinend, die Login-Daten abzufassen.

Apotheker Dr. Thomas Wellenhofer warnt seine Kolleg:innen vor einem Betrugsversuch: Gestern erhielt der Inhaber der Bahnhof-Apotheke in Freilassing eine Mail mit dem Betreff „Wichtige Information!“, die angeblich vom Deutschen Apothekerverband (DAV) kam. Darin hieß es wörtlich:

Sehr geehrte*r Apotheker*in,

auf Grund der jüngsten Gesetzesänderungen und der Empfehlung des Robert Koch Institutes haben wir unserer AGB aktualisiert.
Um weiter unsere digitalen Dienstleistungen zu benutzen ist daher notwendig unsere neuen AGB bis zum 31.12.2021 zu bestätigen.
Melden Sie sich dazu bitte in unserem Portal an um dieses zu bestätigen.
Wir wünschen Ihnen und Ihrer Familie ein erholsames und schönes Weihnachtsfest, besinnliche Feiertage und einen guten Rutsch ins neue Jahr.
Gemeinsam möchten wir auf eine erfolgreiche Zukunft in 2022 schauen. Bleiben Sie und Ihr Umfeld gesund und munter!

Unterzeichnet war die Mail vom DAV, inklusive der korrekten Adressdaten. Ein Link im Text führte direkt auf die Website Mein.Apothekenportal.eu. Absender war die Mailadresse [email protected].

Welche AGB?

Nur durch Zufall wurde Wellenhofer stutzig: Weil er an einem anderen Rechner saß, konnte er sich nicht direkt einloggen. Stattdessen suchte er auf der Website nach den AGB, die sich angeblich geändert haben. Doch dort fand er nichts. Jetzt fiel ihm auf, dass das Portal des DAV eigentlich über den Link Mein-Apothekenportal.de zu erreichen ist.

Sofort war ihm jetzt bewusst, dass es sich hier um einen Betrugsversuch handelt mit dem Ziel, die Anmeldedaten von Apotheken zu erbeuten – und zwar einen äußert raffinierten. „Die Mail und die Erklärung klingen ja erst einmal plausibel. Immerhin gibt es fortlaufend Änderungen rund um das Ausstellen der Impfzertifikate. Nur die EU-Endung der verlinkten Internet-Adresse weist auf den Phishing-Versuch hin.“

Website kopiert

Die Website, auf die die Apotheker:innen gelangen, sieht tatsächlich 1:1 aus wie das DAV-Portal. Nach Recherchen von APOTHEKE ADHOC dürfte es sich aber um ein Plagiat handeln: Die Domain wurde erst am 22. Dezember registiert, und zwar über den IT-Dienstleister Godaddy beziehungsweise den Hosting-Anbieter Cloudflare. Das DAV-Portal wird dagegen vom Softwarehaus Hetzner betreut. Der Auftrag kam über die Adresse [email protected]. Eine solche Apotheke gibt es in München tatsächlich – auch hier scheinen die Betrüger also eine fremde Identität angenommen zu haben.

Wellenhofer hat nicht nur Kolleg:innen informiert, sondern sich auch an die Rechtsabteilung des DAV gewendet. Dort war jedoch am Heiligabend niemand mehr zu erreichen. Eine Sprecherin konnte auf Nachfrage auf Anhieb nichts zu dem Vorgang sagen. Generell sei es aber so, dass über solche Änderungen nicht per Mail, sondern über die Verbände informiert werde.

Der Apotheker warnt seine Kolleg:innen jedenfalls dringend davor, auf die Mail zu reagieren: „Was ein Zugriff in unseren Namen auf das Impf-Zertifizierungsportal bedeutet, ist uns wohl allen klar, also bitte Vorsicht!“