Als Nutzer einer P2P-Investmentplattform haben wir festgestellt, dass die E-Mail-Infrastruktur des Anbieters es Angreifern ermöglicht hätte, täuschend echte E-Mails im Namen der Plattform zu versenden – ohne jede technische Hürde. Wir haben die Lücke gemeldet. Dieser Artikel erklärt, was auf dem Spiel stand.
Bei der Analyse der Domain einer europäischen P2P-Investmentplattform haben wir eine Schwachstelle in der E-Mail-Konfiguration identifiziert. Sie erlaubt es, E-Mails mit der offiziellen Absenderadresse der Plattform zu verschicken – von jedem beliebigen Server aus, ohne Zugang zu deren Systemen zu benötigen. Für Empfänger wäre eine solche Nachricht technisch nicht von einer echten zu unterscheiden gewesen.
Jeder hätte E-Mails im Namen des Plattform-Supports an über 14.000 Investoren versenden können – vollständig zugestellt, ohne Warnhinweis im Mailclient des Empfängers.
Was diesen Fall besonders ernst macht, ist der Kontext. Die Plattform befand sich mitten in einem Wechsel ihres Zahlungsanbieters. Ein- und Auszahlungen waren vorübergehend gesperrt, und alle Investoren erhielten aktiv E-Mails mit Updates zum Fortschritt der Integration. Die Nutzer warteten also auf genau diese Art von Kommunikation – und hätten eine gefälschte Nachricht mit einer Bitte zur Konto-Verifikation oder Dateneingabe kaum hinterfragt.
Ein Angreifer hätte kein Insiderwissen gebraucht. Alle relevanten Informationen – Name des neuen Zahlungsanbieters, Zeitplan, Sprachstil der E-Mails – waren aus den offiziellen Mitteilungen der Plattform frei zugänglich.
Eine berechtigte Frage lautet: Selbst wenn jemand gefälschte E-Mails versenden kann – woher bekommt er die Adressen der Investoren? Die Antwort ist ernüchternd: Angreifer brauchen die Kundenliste des Anbieters dafür nicht.
P2P-Investmentplattformen haben aktive Nutzercommunities. Auf Bewertungsportalen, in Fachforen und in sozialen Netzwerken schreiben Investoren öffentlich über ihre Erfahrungen – oft mit ihrem Klarnamen oder verlinkten Profilen, aus denen eine E-Mail-Adresse ableitbar ist. Wer gezielt sucht, findet innerhalb kurzer Zeit eine handvoll konkreter Personen, die nachweislich Nutzer der Plattform sind.
Dazu kommt: Ein Massenangriff auf alle 14.000 Investoren ist gar nicht notwendig. Für Betrug genügen wenige gezielte Opfer. Zehn Investoren, die jeweils einen vierstelligen Betrag auf ein gefälschtes Konto überweisen, machen einen solchen Angriff bereits lukrativ – ohne dass der Angreifer jemals an interne Daten gelangt sein muss.
Eine weitere Variante ist noch niedrigschwelliger: Wer sich selbst auf der Plattform registriert, kennt die eigene E-Mail-Adresse – und kann sich selbst als Testopfer nutzen, um den Angriff zu verfeinern, bevor er gegen andere eingesetzt wird.
Wir haben die Plattform direkt und vertraulich kontaktiert, das Risiko klar beschrieben und die technische Behebung ohne Gegenleistung angeboten. Die Plattform hat innerhalb weniger Tage geantwortet und das interne IT-Team eingeschaltet. Im Gegenzug haben wir um Erlaubnis gebeten, den Fall anonymisiert zu dokumentieren.
Kein Angriff hat stattgefunden. Die Lücke wurde gemeldet, bevor sie ausgenutzt werden konnte. Die Plattform hat die Rückmeldung professionell aufgenommen.
Diese Art von Sicherheitslücke ist weit verbreitet – nicht weil Unternehmen nachlässig sind, sondern weil sie im normalen Betrieb unsichtbar bleibt. Kein Alarm, keine Fehlermeldung. Die Lücke existiert still, solange niemand aktiv danach sucht.
Besonders heikel wird es in Momenten, in denen Nutzer ohnehin auf E-Mails warten: ein Zahlungsanbieterwechsel, eine Passwort-Zurücksetzung, ein System-Update. Genau dann ist die Bereitschaft, auf eine Nachricht zu reagieren, am höchsten – und die Skepsis am geringsten.
Responsible Disclosure ist für uns kein PR-Instrument, sondern Haltung. Wir melden Befunde direkt an die Betroffenen, bevor wir darüber sprechen – und helfen, wo wir können.
Wissen Sie, ob Ihre Domain gegen genau diese Art von Missbrauch gesichert ist? Ein Quick-Check gibt Ihnen in 24 Stunden Klarheit.
Domain jetzt prüfen lassen