Aus gegebenem Anlass greife ich die nächste Phishing-Kampagne hier im Blog auf, die sich an Kunden von Banken richtet. Kunden der Online-Bank Ing erhalten in einer Kampagne eine Phishing-Mail mit dem Hinweis, dass das Konto gesperrt worden sei, weil nicht auf eine Nachricht der Bank reagiert worden sei. Der Kunde müsse das Konto nun reaktivieren. Das ist aber ein mehr oder weniger gut gemachter Phishing-Versuch. Ergänzung: Die Kampagne ist bereits auf ein neues Muster geschwenkt.
Anzeige
Die Zahl der Phishing-Kampagnen scheint im Januar 2023 auf einen neuen Höhepunkt hinzusteuern. Täglich bekomme ich Mails, dass mir Crypto-Guthaben zugeflossen sei. Oder es gibt den Hinweis, dass meine Domäne bei Hostern wie Strato gesperrt worden sei etc. Auch Benachrichtigungen von angeblichen Paketdiensten, dass eine Lieferung an mich unterwegs sei, nicht zugestellt werden konnte etc. haben sich Anfang Januar 2023 gehäuft und meine Spam-Ordner geflutet. Besonders haben es die Kriminellen momentan auf Bankkunden abgesehen.
Phishing ziel auf Online-Banking bei der Ing
Erst gestern hatte ich ja eine Warnung zu Phishing bei den Sparkassen hier im Blog Vorsicht: Sparkassen-Phishing (per SMS) zu Apple Pay. Die "Tinte war sozusagen noch nicht trocken", als bei der Kontrolle des Spam-Ordners eines web.de-Postfachs die nachfolgende Phishing-Nachricht ins Auge stach.
Sehr geehrter Kunde,
leider müssen wir Ihnen die bevorstehende Schließung Ihres Kontos mitteilen,
da eine vollständige Verifizierung bisher noch nicht verzeichnet werden konnte.
Diese ist seit dem 23/01/2023 ausstehend und sollte schnellstmöglich
vollzogen werden, um eine komplette Sperre vorzubeugen.
Aktivierung
Wir bitten Sie die Unannehmilichkeiten zu entschuldigen und
bedanken uns bei Ihnen herzlichst für Ihre Geduld und Aufm erksam keit.
ING © 2023
Gut, an den Rechtschreibfähigkeiten müssen die Leute von der angeblichen "Ing-Bank" noch ein wenig arbeiten – aber so manchem Zeitgenossen wird das Herz in die Hose rutschen, wenn er ein Online-Konto bei dieser Bank unterhält. Ihm wird die bevorstehende Schließung seines Kontos in Aussicht gestellt, weil er keine vollständige Verifizierung durchgeführt habe. Das ist zwar Humbug – aber die Ing hat 2022 ja Kunden die Pistole auf die Brust gesetzt und mit Kündigung gedroht, wenn die Zustimmung zu Negativzinsen nicht erfolgte. Lief zwar alles über Brief, aber Digital Natives erwarten das Ganze heutzutage auf elektronischem Weg.
Anzeige
Gut gemachte Zielseite
Ich habe die obige Phishing-Mail zum Anlass genommen, das Ganze zu evaluieren – muss man nicht unbedingt nach machen. Nachfolgender Screenshot zeigt die Zielseite (asesoriabarrachina[dot]es/lie/mein/veri/), die mit Sicherheit nichts mit der Ing-Bank zu tun hat.
Die Kriminellen haben die Login-Seite für Online-Banking der Ing nachgebaut und sogar die Anmeldung mittels der App und QR-Code gefälscht. Lediglich die Links und die Anmeldung per QR-Code zeigen keine Reaktion. Witziger Weise haben die Phisher sogar die Warnung der Ing vor gefälschten Webseiten nachgebaut – bei Vorsicht vor gefälschten ING Webseiten erscheint folgender Text:
Aktuell gibt es gefälschte Websites der ING im Netz. Bei der Suche nach der ING Homepage über die Suchmaschine Ihres Browsers werden Ihnen sehr prominent platzierte – betrügerische – Seiten angezeigt.
Diese Seiten, inklusive der Log-in Seite, sehen täuschend echt aus.
Geben Sie dort Ihre Daten ein, erhalten Sie den Hinweis, Ihr Konto sei gesperrt und Sie werden gebeten, eine Hotline anzurufen. Die angeblichen Supportmitarbeiter versuchen sich Zugriff auf Ihren Rechner und Ihr Konto zu verschaffen.
So können Sie sich schützen:
- Bitte geben Sie die URL ing.de immer direkt in die Adresszeile Ihres Browsers ein und nutzen Sie nicht die Links aus Ihren Suchergebnissen.
- Überprüfen Sie die URL, bevor Sie Ihre Daten eingeben.
- Achten Sie auf eine sichere Verbindung, z.B. auf das Schlosssymbol oben links in der Adresszeile. Erhalten Sie beim Aufruf der Website eine Sicherheitsmeldung, seien Sie vorsichtig und geben bitte keine vertraulichen Daten ein.
- Bitte geben Sie keine Zugangsdaten sowie Transaktionsnummern (TAN) weiter
- Kommt Ihnen diese Masche bekannt vor? Haben Sie eventuell bereits Daten weitergegeben? Dann rufen Sie uns bitte so schnell wie möglich unter 069 / 34 22 24 an.
Gibt also noch "freundliche" Phisher, die die Login-Seite einer Bank komplett kopieren. Die Seite asesoriabarrachina.es gehört übrigens zu einer Consulting-Firma (BARRACHINA FERRER CONSULTING). Das vor 25 Jahren gegründete spanische Unternehmen reklamiert für sich, dass man ein "professionelles Unternehmen sei, welches im Business Consulting aktiv ist. Man bietet Steuer-, Buchhaltungs- und Arbeitsberatung sowohl für Unternehmen als auch für Privatpersonen. Mit der IT-Sicherheit nimmt das Unternehmen es aber wohl nicht so genau – denn der Phishing-Link verweist auf eine Unterseite des Unternehmens – spricht: Die Cyber-Kriminellen konnten auf den Server der Firma zugreifen und dort ihre Phishing-Seite ablegen. Ich habe das Unternehmen jetzt über die Infektion in Kenntnis gesetzt – die Phisher werden sich aber schnell eine neue Seite für ihre Zwecke suchen.
Das sagt Virustotal
Ich habe natürlich eine sofortige Prüfung der Ziel-URL auf virustotal vornehmen lassen – die aber vor einigen Stunden erwartungsgemäß negativ ausgefallen ist (abseits des Phishing-Formulars enthält die Seite keine schädlichen Inhalte und die URL gehört ja zur erwähnten spanischen Firma).
Bei einer erneuten Prüfung während des Schreibens dieses Beitrags schlugen die Virenscanner aber an. Die gesamte Seite wird jetzt von einem Dutzend Virenscannern als "Malicius" gemeldet – die Reputation der Webseite des spanischen Unternehmens ist damit flöten.
Der Vorfall zeigt, dass die Phishing-Zielseiten sehr schnell durch Seiten wie Virustotal erkannt werden – die Phisher haben oft nur wenige Stunden Zeit. Es ist aber auch ein Beispiel, wie mangelnde Cyber-Sicherheit das spanische Consulting-Unternehmen BARRACHINA FERRER CONSULTING in der Einstufung seiner Webseite jetzt beeinträchtigt hat. Die sitzen nun mit Sicherheit auf diversen Black-Listen.
Das Beispiel zeigt auch, dass die Phishing-Mail mit etwas Aufmerksamkeit gut erkannt werden konnte – und wer die oben eingeblendeten Hinweise der Ing-Bank beherzigt, dürfte auf solche Betrugsversuche nicht hereinfallen.
Nächste Phishing-Variante
Ergänzung: Die Kampagne ist bereits auf ein neues Muster geschwenkt. Gerade die folgende Mail in einem anderen Postfach im SPAM-Ordner gefunden.
Hallo Kunde,
Unsere Seite wurde mehrere Monate getestet und wird die alte Seite definitiv in wenigen Tagen ersetzen.
Wir laden Sie ein, über die Schaltfläche unten auf Ihr Konto zuzugreifen, um Ihr Gerät in unserem Netzwerk zu registrieren und die neuen Funktionen zu entdecken.
PS: Durch das Ignorieren dieses Hinweises setzen Sie sich einem vorübergehenden Verbot all Ihrer Lastschriften aus.
Wieder die Drohung mit einer Sperre – hier der Lastschriften – was natürlich Humbug ist. Bei der Weiterleitung wird die Ing-Login-Seite unter id.ing-deutsche.zbauer[dot]de eingeblendet. Dort ist eine Vorschaltseite aktiv, die eine sehr einfache Captcha-Eingabe erfordert (habe ich so auch noch nicht gesehen). Erst nach Eingabe von drei Zeichen gelangt man zur Phishing-Seite mit der gefälschten Anmeldung. Auf virustotal.com meldet Abusix die Seite bereits als "SPAM".
Anzeige
Interessant ist die URL, an die die Daten verschickt werden.
Das "ewige Katz- und Maus-" oder meinetwegen auch "Hase- und Igelspiel"…
Beruhigend zu wissen, daß "uBlock" und "malwarebytes" warnen, bzw. sperren.
Ja, insbesondere diese Paketnachrichten-Pishingmails kommen hier verstärkt rein.
Das ging schon vor Weihnachten los.
Und was die Mail der Bank angeht:
Eine Bank schreibt einen niemals mit "Sehr geehrter Kunde" an, sondern immer mit Namen.
Besonders unlustig finde ich DHL-express, die jede Sendung per SMS ankündigt und eine URL darin meldet, wenn ich das nicht will.
Stichwort ING: Spannend ist es auch immer, wenn eine Bank übernommen wird und/oder den Namen ändert. Ich bin ja schon ewig Kunde dieser Firma und gehe routinemässig auf "diba.de". Werde dann weitergeleitet auf "ing.de".
Aber wird das immer so sein? Und wird man mich informieren, wenn das irgendwann einmal nicht mehr der Fall ist? Sonst wäre das ja geradezu ein Phishing-Wunschtraum…
Wobei "ing" ein ziemlich besenkter Name ist, weil es "ing" xig millionen mal gibt.
Such mal
"Problem mit Ing" vs.
"Problem mit DiBa"…
Na ja, der Laden heisst (genauer: hiess) nun einmal "Internationale Nederlanden Groep". Von daher liegt die Abkürzung ING irgendwie nahe.
Bei uns sind kommen derzeit auch E-Mails von kontakt@de.lbbkartenapp.com rein und die sind sowas von Phishing :-)
"Bitte geben Sie die URL ing.de immer direkt in die Adresszeile Ihres Browsers ein und nutzen Sie nicht die Links aus Ihren Suchergebnissen."
Hm. Ich habe bisher immer die Suchergebnisse/autocomplete von Google verwendet. Einfach weil ich so Vertipper-Domains vermeiden kann…
Auch könnte doch wer mir eine türkische Tastatur Belegung unterdchieben, bei der das" i" nur wie ein "i" aussieht, aber anders kodiert ist.
Ein fester Link wäre besser, aber den kann mir ja irgendwer getauscht haben.?
Ublock, adblock etc. Ist klar, aber auf manchen Firmen PC darf der Anwender das nicht installieren, schließlich braucht die IT ja regelmäßige "viren Angriffe" um ihre Existenz sicherzustellen.
?
Die Links zu den Login-Seiten aller Banken und Versicherungen werden bei mir über KeePass an den Browser übergeben. Links in Mails gehen gar nicht. Zudem lasse ich mir Mail standardmäßig als reinen Text anzeigen. Da fallen die vermurksten Links sofort auf.
DHL und Sparkassenmails habe ich unzählige in meinem SPAM-Ordner. Die werden aber zu mindestens 95% ausgefiltert bevor ich sie zu Gesicht bekomme.
"Zudem lasse ich mir Mail standardmäßig als reinen Text anzeigen. Da fallen die vermurksten Links sofort auf."
Eigentlich genügt es, zumindest im Thunderbird, einfach die Maus auf dem Link zu positionieren, dann wird die Ziel-URL eingeblendet.