Damian Thater

Phish Alarm! Meine Suspendierte Karte

04.04.2014

Phish Alarm! Meine Suspendierte Karte

Ich habe so gelacht, als ich von der Suspendierung meiner Volksbanken Karte gelesen habe. Das hat mir wirklich den Tag versüßt.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Das scheint in einer Art Sport auszuarten. Jeden Tag ein Phishingmail:

From: "www.vr.de"<secure@vr.de>
To: <woher-haben-die-nur-mein-konte@weiss-der-geier.bla>
Betreff: Ihre Volksbanken Karte wird Suspendiert

Sehr geehrter Kunde,

--------------------------------------------------

Wir haben unregelmäßige Aktivität Ihrer Kreditkarte erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird.

--------------------------------------------------

Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven einzuführen.

Vielen Dank,
Kundendienst.

Urheberrecht Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten.

+ Anhang: "Data VR.htm"

Volksbanken… da kann suspendiert werden, was will. Ich habe keinerlei Kenntnis an ein Geschäftsverhältnis…

Erster Eindruck:

  • “Sehr geehrter Kunde,”… wie unpersönlich,
  • “Wir haben unregelmäßige Aktivität”… da fehlt “eine” oder “Aktivitäten” (plural),
  • “Zu Ihrem Schutz, beschränken wir es, bis”… Satzbau-Blösdinn,
  • “bis Sie Ihre Angaben Bestätigung.”… Hölle! Wo ist das Verb?
  • “Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird.”… Mauahaha! Joda-Speech!
  • “Bitte verwenden Sie die Website auf dem Laufenden bleiben.”… Grammatik! Wo ist das “um … zu”?
  • ”…, um unser Unternehmen und unsere Reserven einzuführen.”… Eindringlingsalarm! Wird nichts eingeführt! Basta!
  • “Vielen Dank, Kundendienst.”… Dank dem Kundendienst. Punkt.

Internet-Check

Google vermerkt ganz klar: Betrugsversuch

Volksbanken Warnmeldung

Hinter der Kulissen

Den Spass, in die Email reinzuschauen, lasse ich mir nicht entgehen.

Zuerst fällt auf woher die Email versendet wurde:

Received: from linux4.webcows.se

Ein Schwedischer Server, wen wundert es also, dass die Grammatik und die Satzzeichen für’s Mülleimer sind. Muss aber nichts heißen…

X-Priority: 1
X-MSMail-Priority: High

Emails, die mir die Dringlichkeit erklären wollen, werden disqualifiziert. Wenn ein Finanzinstitut mich mit wirklich “wichtigen” Infos versorgen will, soll es mich anrufen. Alles andere wird auf die den Arbeitsstack (aka ToDo-Liste) gelegt.

Mal sehen, was der Anhang bereit hällt.

Die Seite wurde von der Firma Fiducia IT kopiert, um möglichst authentisch zu wirken. Viele der Inhalte, die Bilder und Styles werden vom fiducia.de-Server geladen.

httqs://finanzportal.fiducia.de/.../

Einige der Links, etwa auf die Hilfe-Seite, wurden umgebogen, sodass die auf lokale Dokumente verweisen. Da in dem Anhang aber diese Dokumente fehlen, wird vermutlich eine Fehlerseite auftauchen, wenn man versucht diese aufzurufen.

Der eigentliche Knackpunkt ist aber die Zieladresse des Formulars:

httq://steelreporter.com/images/.../mail.php

Diese zeigt plötzlich nicht mehr auf die fiducia-Seite, sondern ein Programm (mail.php-Script), schön getarnt als Bild (/images/), auf dem Server vom steelreporter.com.

Womöglich wurden die Eigentümer von steelreporter.com, mit Sitz in Indien, mit dem Phishing-Script verseucht.

Fazit

Löschen! Mail -> Mülleimer -> Mülleimer leeren

04.04.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum