Noch eine kurze Warnung für Kunden von Volks- und Raiffeisenbanken, die wohl im Fokus von Phishern stehen. Die Verbraucherzentralen warnen jedenfalls vor entsprechenden Phishing-Mails, die die Empfänger mit einer vorgeblichen Sperre des SecureGo-TAN zur Preisgabe von Daten für das Online-Banking verlocken wollen. Das ist ein Sicherungsverfahren, welches die betreffenden Banken zur Sicherung von Transaktionen eingeführt haben.
Anzeige
Das VR-SecureGo-Verfahren
Zur Absicherung von Transaktionen wie Überweisungen beim Online-Banking verwenden Volks- und Raiffeisenbanken das sogenannte VR-SecureGo-Verfahren. Dazu wird eine entsprechende VR-SecureGo-App benötigt. Beim SecureGo-Verfahren erhalten die Kunden für die Freigabe einer Transaktion eine TAN in der VR-SecureGo-App auf dem Smartphone oder Tablet angezeigt.
Zu Sicherheit der Kunden ist jede TAN nur für eine bestimmte Transaktion zeitlich begrenzt gültig und wird verschlüsselt übertragen. Das VR-SecureGo-Verfahren muss dabei von den Kunden explizit freigeschaltet werden. Die notwendigen Schritte, die auch eine Anmeldung auf der Seite www.vr-bank-online.de erfordern, sind in dieser PDF-Anleitung beschrieben.
VR-SecureGo-Phishing
Die Phisher machen sich wohl die Unsicherheiten der Kunden von Volks- und Raiffeisenbanken zu nutze, die vielleicht nicht wissen, wie die Freischaltung genau abläuft. Zum 18. September 2023 sah sich die Verbraucherzentrale per Phishing-Radar auf eine Spam-Welle mit Phishing-Mails hinzuweisen, die auf diesen Kundenkreis zielt. Die Kundschaft der Volksbank habe weiterhin mit Phishing zu kämpfen, heißt es. In der aktuellen Variante wird behauptet, der Kunde habe das neue Web-Sicherheitssystem SecureGo-TAN noch nicht aktiviert. Er wird dazu aufgefordert, das neue Web-Sicherheitssystem "SecureGo-Plus" bis zum 17.09.2023, also dem Tag des Empfangs der Mail, zu aktivieren. Nachfolgend ist eine solche Mail abgebildet.
Anzeige
Das Datum, zu dem die Aktualisierung fällig wird, kann variieren – der 17.9. ist inzwischen abgelaufen, die Phisher werden die Kampagne aber noch eine Weile fahren. Im Schreiben wird gedroht, dass, falls eine Aktivierung des Web-Sicherheitssystems zum Stichtag unterbleibt, die SecureGo-TAN gesperrt werde. Natürlich greifen die Phisher dann den "Opfern unter die Arme" und schreiben, dass eine Aktivierung über den Link innerhalb der Mail erfolgen müsse.
Die Konsequenz ist für informierte Blog-Leser klar: Klickt das Opfer auf den Link, wird dieser zur Seite des Phishers weitergeleitet. Diese Seite ähnelt der Webseite der Volksbank. Dort findet sich ein Eingabeformular, in dem die Zugangsdaten zum VR-Online-Banking abgefragt werden. Gibt man dort seine sensiblen Daten preis, indem man sich einloggt, werden diese an die Phishing-Kriminellen weitergeleitet.
Schutz ist einfach möglich
Es ist die alte Leier: Banken sollten die Kunden niemals per E-Mail über offene E-Mail-Konten kontaktieren. Wenn es einen Mail-Kontakt der Bank zum Kunden gibt, erfolgt dies immer über das interne Postfach des Online-Bankkonto. Auf dieses interne Postfach kann der Kunde nur nach Anmeldung beim Online-Banking zugreifen. Das Abrufen von E-Mails der Bank mit einem E-Mail-Programm wie Outlook oder Thunderbird ist nicht möglich.
Wer das beachtet, ist eigentlich schon auf der sicheren Seite und kann solche Phishing-Mails im Mail-Programm löschen. In Zweifelsfällen ließe sich die Absenderadresse der Mail noch in E-Mail-Programmen wie Outlook oder Thunderbird prüfen (einfach auf das Absender-Feld per Maus zeigen, meist wird dann der Absender als Infonachricht eingeblendet. Die Verbraucherzentrale rät noch: Klicken Sie auf keine Links und geben Sie unter keinen Umständen sensible Daten preis!
Anzeige
Viel Lärm und gedöns um nichts. Wird wohl dasselbe Schema wie bei dem Beispiel sein das ich hier gezeigt habe.
https://www.borncity.com/blog/2023/09/19/phishing-mail-registrierung-fr-mastercard-identity-check-kommt-ber-gehackten-freshdesk-com-server/#comments
Bei dem finalen Eingabeformular sollte auch dem Dümmsten auffallen daß das nicht die Volksbank ist. Schon die Aufforderung die Bankleitzahl eingeben zu müssen macht klar, daß die keine Ahnung haben bei welcher Bank ich bin!
Nicht nur das.
Selbst wenn die Bank mit einem per Email kommunizieren würde, würde sie einen niemals mit "Sehr geehrte(r) Kunde" ansprechen, sondern immer mit vollem Namen, denn den kennt die Bank ja.
Und die Grußformel ist auch falsch.
Da steht "mit freundlichen Gruben" anstatt "Mit freundlichen Grüßen"
Auch steht da "durchzufuhren" anstatt "durchzuführen".
Mit Umlauten, ß, etc. scheinen die Phisher ein Problem zu haben, was auch zeigt, das die nicht aus dem deutschsprachigen Raum stammen.
Und man sollte auch mal überlegen, ob die Bank denn überhaupt die eigene Emailadresse kennt.
Meine Bank kennt meine Emailadresse jedenfalls nicht.
Also "Mit freundlichen Gruben" finde ich klasse.
Denn: Wer anderen eine Grube gräbt, der hat ein Grubengrabgerät.