Vorsicht: Sparkassen-Phishing mit Malware

Einfach kurz zur Erinnerung, dass man bei Mails wachsam bleiben sollte. Die Tage habe ich mal wieder eine Phishing-Mail, angeblich von der Sparkasse, mit der Meldung, dass von meinem Konto ein größerer Betrag abgebucht worden sei, erhalten. Die Zielseite versucht dann einen Trojaner auf dem System zu platzieren – daher hier ein paar Informationen zum Thema.


Anzeige

Die letzten Wochen haben wir ja einige Malware-Kampagnen gesehen. Und Weihnachtszeit ist eh Saison bei Cyber-Kriminellen. Daher ein paar Details zum aktuellen Phishing-Fall als Hinweis und Warnung.

Eine schlecht gemachte Pishing-Mail

Die Tage trudelte mal wieder eine Phishing-Mail, angeblich von der Sparkasse, in meinem Postfach ein. Der Text könnte bei dem einen oder anderen Empfänger schon einen Anreiz auslösen, den Link zur Prüfung des Kontostands anzuklicken. Denn dort wird behauptet, dass vom Konto eine größere Summe abgebucht wurde.

Sparkasse Phishing-Mail

Die Phishing-Mail ist aber extrem schlecht gemacht, denn die Kontoangabe stimmt nicht, es fehlt die persönliche Ansprache, die eine Bank verwenden würde. Und im Thunderbird wird das Logo auch nicht eingeblendet. Relevanter sind aber die im Thunderbird Mail-Programm einsehbaren Detailangaben.


Anzeige

  • So wird als Absender zwar Sparkasse GmbH aufgeführt – aber die gefälschte Absenderangabe knabe @ bauleitungsbüro.de weist bereits auf einen Phishing-Versuch hin.
  • Zeigt der Nutzer per Maus auf den Link, wird im Statusbereich des Mail-Fensters dann auch ein Link angezeigt, der so gar nichts mit einer Bank zu tun hat.

Offenbar wurde der Demo-Webserver gehackt und die Phishing-Seite zur Malware-Verteilung dort aufgesetzt. An dieser Stelle sollten Nutzer die Mail löschen. Ich habe mir die Phishing-Mail aber zur weiteren Analyse aufgehoben. Hier die Erkenntnisse.

Zielseite versucht Trojaner zu platzieren

Wählt man den Link in der Mail an, öffnet sich die Zielseite im Browser. Ich habe das mal per Tor probiert – dann öffnet sich keine Zielseite. Im anonymen Modus des Google Chrome-Browsers versucht die Zielseite eine Malware auf den Rechner des Nutzers zu schieben.

Trojaner auf Phishing-Seite

Der Google Chrome-Browser erkennt den Download bereits als schädlich und schlägt das Verwerfen vor. Die auf dem System laufenden Microsoft Security Essentials haben die Malware als den Trojaner Trojan:O97M/Sonbokli.A!cl erkannt und diesen in Quarantäne verschoben.

Microsoft hat den Trojaner auf dieser Seite beschrieben. Der Trojaner wird seit September 2018 durch Microsofts Virenscanner (z.B. Windows Defender ab Windows 8.1) erkannt und beseitigt. Der Trojaner besitzt Funktionen, mit dem die Funktionalität nachträglich über entsprechende Server erweitert oder geändert werden kann.

Ich habe das Beispiel aufbereitet, um mal wieder aufzuzeigen, welche Gefahren so per Mail drohen. Vielleicht ist es als Warnung für nicht so erfahrene Besucher des Blogs ganz hilfreich.

Ähnliche Artikel:
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Fraud Report: Phishing-Angriffe steigen wegen Black Friday und Cyber Monday
Falsche Abmahn-E-Mail mit Malware-Anhang (Sept. 2018)
Neuer Phishing-Angriff auf Sparkassenkunden
Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden
Adventszeit: Online-Shopper sind Spammer-Ziel


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Vorsicht: Sparkassen-Phishing mit Malware

  1. Dalai sagt:

    "Sparkasse GmbH" ist auch schön. Sparkassen sind keine GmbH. Überhaupt: welche Sparkasse denn? Üblicherweise steht in einer solchen Mail, von welcher der vielen verschiedenen Sparkassen man da angeschrieben wird.

    Irgendwie gibt's nur die beiden Extreme: richtig schlecht gemachtes Phishing, das so offensichtlich ist, dass es weh tut (wie in diesem Fall). Andererseits richtig gut gemachtes Phishing in gutem Deutsch, mit persönlicher Anrede und plausibel klingendem Text, bei dem man ganz genau hinschauen muss.

    • Günter Born sagt:

      Ja danke, war mich auch aufgefallen – aber ich schätze, den meisten Leuten ist die Rechtsform der jeweiligen Sparkassen (öffentlich rechtlich) und Genossenschaftsbanken nicht klar bzw. sagt denen nichts. Daher habe ich die Info weggelassen.

      • Dalai sagt:

        Stimmt schon. Andererseits gibt es in Deutschland meines Wissens nach gar keine Bank, die eine GmbH ist. Wenn man sich dessen bewusst ist, kann man dies als weiteres Indiz für Spam/Phishing deuten. Aber es ist wie sonst auch: die Dummen und Unwissenden lassen sich fangen ;).

        Grüße

      • Werner sagt:

        Immerhin wird die Webseite Sparkasse.de von einer GmbH betrieben, der Sparkassen-Finanzportal GmbH. Gerne versuchen Phisher es auch mit dieser Domain, aber von dort werden keine Sparkassenkunden direkt betreut, immer nur über die jeweilige Einzelsparkasse.
        Aber dass weiß halt auch nicht jeder.

    • Dekre sagt:

      ich will ja nicht beckmesserisch auftreten, aber etwas Ordnung und Konfusität will ich dennoch zum besten geben:

      #Die Organisationsformen von "Sparkassen" ist generell unterschiedlich. Eine Verallgemeinerung von "seinen persönlichen Vermutungen" auf seine konkreten Sparkasse und dann über die Region hinaus und über Staatengrenzen dann, kann zu Überraschungen führen.

      # Generell gilt im Gebiet von Deutschland das Kreditwesengesetz (KWG) und dort ist geregelt, dass die volkstümliche Bank nicht in der Rechtsform eines Einzelunternehmens betrieben werden dürfen.
      Ergo – Alle anderen sind zulässig. So auch eine GbR – diese wird aber zur oHG.
      Es gibt sehr viele Privatbanken in allen Rechtsformen.

      (NB: Die volkstümlichen Sparkassen, Bausparkassen und Volksbanken etc sind oft Genossenschaften, Vereine oder so. Diese haben dann GmbHs und AGs und so ….; jedenfalls "öffentlich-rechtlich" sind diese per se nicht. Ist jedoch der Gesellschafter/ die Gellschafter die öffentliche Hand, so wäre das Volkseigentum. Die alte "Berliner Bank" war mal so gut wie Volkseigentum, gegründet von Ernst Reuter Bürgermeister in W-Berlin. Die wurde dann vom Senat von Berlin Ende 80er/Anfang 90er Jahre totgewirtschaftet mit dem Ergebnis von horrenden Milliardenschulden für Berlin und so war dann schlagartig "Berlin ist arm aber sexy" geboren.)

  2. Herr IngoW sagt:

    Die Links und Absender in diesen E-Mails sind ja immer die Hauptanzeichen für Phishing, dazu kommt ja noch die Machart.
    Wie ist das eigentlich mit den "save-Links" in Outlook, passiert da auch was oder sind das nur "Placebos".

  3. Rene sagt:

    Wollte gerade schon schreiben, dass man eine solche Mail ehr nie von seiner Bank bekommt.
    Meine Bank ist da auch etwas kommunikativer. Sie ruft einfach an und autorisiert sich bei mir mit meinen Daten (meinen Namen, meine Anschrift usw.)

    Ich hatte ebenfalls Mal das Problem, das jemand meine Kreditkarte belasten wollte. Meine Bank hat mich angerufen und mich gefragt, ob das den stimme. Zum Glück. Wenige Tage später hatte ich eine neue Kreditkarte.
    Oder einer wollte bei mir abbuchen. Anruf von der Bank, ob ich es denn wirklich wolle. Natürlich nicht.
    Ich mache jetzt keine Werbung für meine Bank. Es ist aber definitiv nicht eine Sparkasse!

    • Werner sagt:

      Ich will ja keine Spammer aufschlauen, aber:
      Einige Sparkassen und vielleicht auch andere Banken bieten ihren Onlinekunden an, dass bei bestimmten Ereignissen eine Mail verschickt wird, z.B. Kontostand X oder Eingang Y. Kann man sich selbst einrichten und ist eine ganz nette Funktion, weil man direkt gewarnt ist.

  4. Walter G. sagt:

    Meistens erkennt man ja schon am Betreff, am Absendernamen etc. was Sache ist. Aber manchmal erscheinen die Mails auch täuschend echt, so dass man generell vor jedem Öffnen einer Mail überlegen sollte, ob es sein kann, diese Mail zu erhalten. Wenn ich mir dann immer noch unsicher bin über den tatsächlichen Absender, speichere ich sie ungeöffnet aus Thunderbird ab (Rechtsklick auf Mail und "speichern unter"). Anschließend ziehe ich die Datei auf das Symbol eines beliebigen Editors und schaue mir den Inhalt (Header, Links und Content) an. Spätestens dann ist klar, ob sie gelöscht oder geöffnet wird.

    Dies vielleicht als Tipp.

    Die Mailvorschau in Thunderbird ist bei mir übrigens deaktiviert.

  5. ThBock sagt:

    Eine Mail von heute war bei mir:

    "Sehr geehrte Kundin, sehr geehrter Kunde,
    wir möchten Ihnen hiermit mitteilen, dass wir Ihr Konto zeitweise gesperrt haben.
    Aus technischen Sicherheitsgründen waren wir gezwungen Ihr Konto zu deaktivieren.
    Da Sie den Verifikationsprozess noch nicht durchlaufen haben, müssen wir seitdem 05.12.2018 alle Nutzerkonten zwischenzeitlich sperren. Sollte keine Rückmeldung innerhalb 14 Werktagen folgen, wird die eine Zeit lange Sperre in eine anhaltende Sperre umgewandelt.
    Über den unten angezeigten Button können Sie den Identifikationsprozess durchlaufen und Ihr Nutzerkonto wieder freischalten. Dieser Vorgang ist selbsterklärend kostenfrei."

    Grins!

    Der Absender war übrigens:
    kontakt(at)sparkassedeutschland(dot)online

    • Micha45 sagt:

      Solche Mails bekomme ich auch von der angeblichen "Sparkasse" und ebenso laufend vom angeblichen "Amazon-Kundenservice".
      Der Inhalt ist fast identisch.
      Satzbau und Rechtschreibung ist hanebüchen. Wer auf so etwas offensichtlich Gefaketes reinfällt, dem ist nun wirklich nicht mehr zu helfen.

      Aber davon mal ab, müsste dahingehend die Strafandrohung erheblich verschärft werden. Nur dann täte es diesen Kriminellen so richtig weh.

  6. Uwe Bieser sagt:

    Ein Identifikation durch die offensichtlich schlechte Grammatik ist jenen, die der deutschen Sprache selbst nicht mächtig sind, vergönnt. Vor vielen Jahren, als ich an der Uni beschäftigt war und die Phishing Mails immer besser wurden, habe ich mir erlaubt auf so einen Phishing Versuch per Rundmail hinzuweisen. Daraufhin bekam ich eine Rüge von einem der Informatik Professoren, wie viel Arbeit das dem RZ machen würde und ich das gefälligst unterlassen soll. Ich habe ihm dann daran erinnert, dass wir viele ausländische Studenten haben, die, sollten Sie Opfer eines solchen Angriffs werden, vor erheblichen Schwierigkeiten stehen würden und ihn gefragt, ob das die erwähnten Schwierigkeiten nicht überwiegt. Aber ich habe ihn gefragt, um welche Schwierigkeiten es sich handelt, denn vielleicht hatte er gute Gründe. Die hatte er anscheinend nicht oder es war unter seiner Würde mit mir darüber zu sprechen. Dafür erhielt ich Post von Anderen, die auch nicht mehr erhellendes beizutragen hatten, sondern sich lediglich darauf beschränkten, wie ich es wagen könne den Anweisungen des hoch geschätzten Professors XY (dem ich in keiner Weise unterstellt war) nicht zu folgen und dies mit der abenteuerlichen Behauptung unterfütterten, dass sie die Sache im Griff haben.
    Es kam wie es kommen musste, bereits schon wenige Tage später hatte jemand aufgrund einer Phishing-Mail, seine Zugangsdaten an der Hochschule verraten und für Spam-Mails über die Hochschuladresse gesorgt. Ich hab nur gelacht, über so viel Arroganz.

  7. mike sagt:

    Ich benutze seit vielen Jahren MailWasher von FireTrust, zeigt eingehende E-Mails an, pro E-Mail eine Zeile, anhand des Absenders, Betreffs etc. sind die plumpen Phishing-Mails sofort erkennbar und werden dann mit MailWasher gelöscht. Im unteren Fenster kann man auch den Inhalt der E-Mail (nur Text, kein HTML) ansehen um raffinierte Phishing-Mails zu erkennen. Man kann sich auch den kompletten Header der E-Mail anzeigen lassen.
    Das Programm ist auch praktisch um die täglichen Newsletter oder unwichtigen E-Mails zu löschen, in meinem E-Mail Client landen dann nur die E-Mails die ich wirklich brauche.
    Das soll jetzt keine Werbung sein für MailWasher sein, es gibt auch andere Programme die das können.

  8. Werner sagt:

    "die gefälschte Absenderangabe knabe @ bauleitungsbüro.de"
    Die genannte Adresse ist doch eigentlich eben nicht gefälscht, weil dieser Account gehackt wurde, oder? Er passt halt nciht zu einer Sparkassenmail. Selbst ein Google-Account würde besser passen, wenn man es richtig macht.
    Ist halt wirklich schlecht gemacht und um so lästiger. Ich fürchte nur, dass trotzdem viele drauf reinfallen. In manchen Clients sieht man das auch nicht so gut wie in Thunderbird, z.B. am Smartphone.

    • Dekre sagt:

      Es ist technisch möglich eine korrekte und seriöse Absender-Email-Adresse einzuspielen, die dann erscheint. Hatte ich schon öfters.
      Ein Mitarbeiter von T-Mobil hat mal in 2005/2006 alle E-mail-Adressen von ("seinen") Kunden in das Feld "an" eingepflegt. Da war Stimmung im Kanal.

      Das ganze taucht immer vor Wiehnachten, Ostern, Pfingsten massiv auf. Ist dann alles schlagartig weg, aber der nächste Angriff kommt bestimmt.

      Und schwupp bekomme ich ein E-mail von Amazon, dass das Konto nicht stimmt. Habe aber da kein Konto.

  9. Windoof-User sagt:

    Sofern nicht zwingend erforderlich, sollten Email-Adressen nicht bekannt gemacht werden. Zudem sollten verschiedene Email-Adressen für unterschiedliche Verwendungszwecke und Personengruppen genutzt werden. Ist eine Email-Adresse "verbrannt", sollte diese nicht mehr genutzt werden.

    • Dekre sagt:

      Das lässt sich in der Praxis nicht einhalten und so viele E-Mail-Adressen gibt es gar nicht.

      • Tanja sagt:

        "Das lässt sich in der Praxis nicht einhalten und so viele E-Mail-Adressen gibt es gar nicht."
        Doch. Insbesondere wenn man einen Google oder Microsoft-Account verwendet. Da kann man sich durch ein"+xyz@" für jeden Dienst eine Adresse anlegen und die landen alle im gleichen Posteingang. Bsp:
        Max.Mustermann+Amazon@Outlook.de
        Max.Mustermann+PayPal@Outlook.de
        etc.
        Geht alles in den Posteingang von Max.Mustermann@Outlook.de

        Statt +Amazon kann bzw. sollte man natürlich im Optimalfall etwas nehmen, was nicht so einfach erraten werden kann. Zumindest da, wo es wichtig ist.

        Wenn man sich nicht die Mühe für jeden Dienst machen will, so kann und sollte man doch zumindest die wichtigsten Sachen trennen. Amazon, PayPal und (Zwangs)Registrierung beim Anbieter oder in einem Forum muss nun nicht alles über eine Adresse laufen.

        Davon ab: Der Beste Schutz ist es einfach bei allen Mails, die man nicht erwartet und wo man etwas machen so (Anhang öffnen, Link anklicken, etc.) von Betrug / etc. auszugehen. Im Zweifelsfall halt manuell auf die Seite gehen, anmelden und schauen, ob man den Fall (Konto gesperrt, Bestellung getätigt, etc.) dort vorfindet.

        • Dekre sagt:

          Sowas habe ich aber nicht und nutze auch nicht.
          Wenn ich meine eine E-Mail-Adresse ändere und das jeden Monat, so würden sich einige Berufsverbände etc. (mal gelinde gesagt) mit mir Amok laufen.

          Mir hat Jemand mal (war 2016) von seinen MS-Hotmail-konto ein E-Mail gesendet – Das hat 4 Monate gedauert, bis ich es erhalten habe. Ein Verlag hat mir Anfang Dezember 2018 ein E-Mail gesandt, das hat 5 Tage gebraucht, bis ich es erhalten habe.

          Das mit den Schutz ist natürlich richtig, was @Tanja beschreibt.

          Das Thema taucht immer wieder auf hier im Blog von Günter. Viele Institute bieten an die E-mail-Adresse zu prüfen, so u.a. das Hasso-Platter-Institut.

          Bei uns im Wohnhaus wurde mal wieder im Oktober klassisch eingebrochen, aber es kommen eben auch viele über das Internet und es ist manchmal auch schwer bestimmte Leute zu diesem Thema zu sensibilisieren.

          Ich kann jedenfalls nur empfehlen in Outlook das herunterladen von Bilder etc empfehlen auszuschalten, als erste sinnige Maßnahme. Der Spam-Ordner oder Junk-Email-Ordner liefert auch viele Aufklärungen. So konte ich sehen, das mein heutiges Trojaner-Email von "Amazon" mit deren Logo von Wikipedia kommt. Der Rest war dann das übliche – Trojaner-Seite (aber https!!!)

          • Ralf Lindemann sagt:

            Die drei Ausrufezeichen sind gut! Https heißt letztlich nur, eine Verbindung ist verschlüsselt. Sicher vor Malware ist man bei https ganz bestimmt nicht. – Insofern ist die Kennzeichnung einer https-Verbindung als „sicher" auch etwas irreführend, höflich formuliert …

    • nook sagt:

      Windoof-User, sehr richtig!
      PayPal schickt mir Mails, obwohl ich dort kein Konto habe.

      Für temporäre Mailaddis soll Bloody Vikings als Firefox Addon ganz gut funktionieren.

      Angabepflicht für Tel., – bzw. Handynummern.
      Dafür nehme ich jetzt eine Prepaid Sim im alten Smartphone.
      Einer der wenigen Prepaid Reseller ohne Zwangsaufladung und Mindestumsatz ist Kaufland.

      • Windoof-User sagt:

        Sofern man den Email-Server nicht selbst betreibt, sind temporäre Email-Adressen sicherlich nicht die erste Wahl für den Online-Einkauf — und das Einrichten einer neuen Email-Addresse bei einem "sicheren" Email-Anbieter die bessere Alternative.

        Verlangt ein Online-Dienstleister eine Telefonnummer, sollte man von dem Angebot grundsätzlich Abstand nehmen. Aber die Idee mit der "Prepaid Sim" ist auch gut!

  10. Ralf Lindemann sagt:

    Wer sich für diesen Artikel interessiert, findet das bestimmt auch spannend: „ESET-Forscher entdeckten einen neuen Android-Trojaner, der eine neuartige Zugriffstechnik gegen die offizielle PayPal-App einsetzte. Die Malware ist in der Lage, PayPals Zwei-Faktor-Authentifizierung zu umgehen." – Auch schön. Details kann man hier erfahren: https://www.welivesecurity.com/deutsch/2018/12/11/android-trojaner-leert-paypal-konto/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.