Ich habe so gelacht, als ich von der Suspendierung meiner Volksbanken Karte gelesen habe. Das hat mir wirklich den Tag versüßt.
Das scheint in einer Art Sport auszuarten. Jeden Tag ein Phishingmail:
From: "www.vr.de"<secure@vr.de>
To: <woher-haben-die-nur-mein-konte@weiss-der-geier.bla>
Betreff: Ihre Volksbanken Karte wird Suspendiert
Sehr geehrter Kunde,
--------------------------------------------------
Wir haben unregelmäßige Aktivität Ihrer Kreditkarte erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.
Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird.
--------------------------------------------------
Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven einzuführen.
Vielen Dank,
Kundendienst.
Urheberrecht Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten.
+ Anhang: "Data VR.htm"
Volksbanken... da kann suspendiert werden, was will. Ich habe keinerlei Kenntnis an ein Geschäftsverhältnis...
Erster Eindruck:
- "Sehr geehrter Kunde,"... wie unpersönlich,
- "Wir haben unregelmäßige Aktivität"... da fehlt "eine" oder "Aktivitäten" (plural),
- "Zu Ihrem Schutz, beschränken wir es, bis"... Satzbau-Blösdinn,
- "bis Sie Ihre Angaben Bestätigung."... Hölle! Wo ist das Verb?
- "Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird."... Mauahaha! Joda-Speech!
- "Bitte verwenden Sie die Website auf dem Laufenden bleiben."... Grammatik! Wo ist das "um ... zu"?
- "..., um unser Unternehmen und unsere Reserven einzuführen."... Eindringlingsalarm! Wird nichts eingeführt! Basta!
- "Vielen Dank, Kundendienst."... Dank dem Kundendienst. Punkt.
Internet-Check
Google vermerkt ganz klar: Betrugsversuch
Hinter der Kulissen
Den Spass, in die Email reinzuschauen, lasse ich mir nicht entgehen.
Zuerst fällt auf woher die Email versendet wurde:
Received: from linux4.webcows.se
Ein Schwedischer Server, wen wundert es also, dass die Grammatik und die Satzzeichen für's Mülleimer sind. Muss aber nichts heißen...
X-Priority: 1
X-MSMail-Priority: High
Emails, die mir die Dringlichkeit erklären wollen, werden disqualifiziert. Wenn ein Finanzinstitut mich mit wirklich "wichtigen" Infos versorgen will, soll es mich anrufen. Alles andere wird auf die den Arbeitsstack (aka ToDo-Liste) gelegt.
Mal sehen, was der Anhang bereit hällt.
Die Seite wurde von der Firma Fiducia IT kopiert, um möglichst authentisch zu wirken. Viele der Inhalte, die Bilder und Styles werden vom fiducia.de-Server geladen.
httqs://finanzportal.fiducia.de/.../
Einige der Links, etwa auf die Hilfe-Seite, wurden umgebogen, sodass die auf lokale Dokumente verweisen. Da in dem Anhang aber diese Dokumente fehlen, wird vermutlich eine Fehlerseite auftauchen, wenn man versucht diese aufzurufen.
Der eigentliche Knackpunkt ist aber die Zieladresse des Formulars:
httq://steelreporter.com/images/.../mail.php
Diese zeigt plötzlich nicht mehr auf die fiducia-Seite, sondern ein Programm
(mail.php
-Script), schön getarnt als Bild (/images/
), auf dem Server vom
steelreporter.com
.
Womöglich wurden die Eigentümer von steelreporter.com, mit Sitz in Indien, mit dem Phishing-Script verseucht.
Fazit