{"id":147466,"date":"2014-03-15T13:36:51","date_gmt":"2014-03-15T12:36:51","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=147466"},"modified":"2021-02-11T23:29:53","modified_gmt":"2021-02-11T22:29:53","slug":"phishing-angriff-auf-spar-volks-und-raiffeisenbank-kunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/03\/15\/phishing-angriff-auf-spar-volks-und-raiffeisenbank-kunden\/","title":{"rendered":"Phishing-Angriff auf Spar-, Volks- und Raiffeisenbank-Kunden"},"content":{"rendered":"

\"Sicherheit\"Und t\u00e4glich gr\u00fc\u00dft das Murmeltier \u2013 das ging mir beim Schreiben dieses Blog-Beitrags durch den Kopf. K\u00fcrzlich habe ich hier<\/a> und hier<\/a> einen Phishing-Angriff auf Sparkassen-Kunden, samt den Irrungen und Wirrungen, im Blog dokumentiert. Und jetzt ist mir durch Zufall je eine Phishing-Mail, die Kunden von Sparkassen- sowie Volks- und Raiffeisenbanken anl\u00e4sslich der SEPA-Umstellung auf's Glatteis locken will, zugegangen. Hab dann etwas recherchiert und spontan beschlossen, mal wieder einen Blog-Beitrag dr\u00fcber zu machen. Ach ja, das Murmeltier ist mir dann auch irgendwie entgegen gesprungen \u2026<\/p>\n

<\/p>\n

Die Phishing-Mails \u2013 so weit so schlecht<\/h2>\n

\"\"Die Phishing-Mail an Volks- und Raiffeisenbank-Kunden, die mir per E-Mail zu ging, greift die SEPA-Umstellung auf und versucht Kunden zur Preisgabe der Daten zu verleiten. Hier ein Screenshot der E-Mail, die nicht schlecht gemacht ist.<\/p>\n

<\/a><\/p>\n

Die meisten Kunden erkennen den Phishing-Angriff vermutlich, denn beim Zeigen auf den Link wird mir (hier im Thunderbird Mail-Client) die wahre Website angezeigt. Ich habe in obiger Abbildung auch gleich das Kontextmen\u00fc eingeblendet, \u00fcber dessen Befehl man direkt aus dem Thunderbird die betreffende URL als Betrugsversuch melden kann. Wer das nicht mitbekommt, den Link anklickt und dann die Seite im Browser besucht, erh\u00e4lt u.U. folgende Darstellung.<\/p>\n

<\/a><\/p>\n

Hier sind die T\u00e4ter in meinen Augen recht ungeschickt vorgegangen. Es gibt zwar eine nette Einf\u00fchrung in SEPA \u2013 wohl von einer Bankseite geklaut. Aber man muss das Browserfenster schon stark vergr\u00f6\u00dfern oder per Bildlaufleiste nach rechts bl\u00e4ttern, um das oben sichtbare Formular zu finden. Und dort wird versucht, pers\u00f6nliche Benutzerdaten samt PIN abzufischen. Trotzdem tippe ich darauf, dass es Leute gibt, die darauf hereinfallen.<\/p>\n

Und wie reagiert die Volksbanken\/Raiffeisenbanken e.G. auf Phishing?<\/h3>\n

Nach meinen Erfahrungen ich hier<\/a> und hier<\/a> mit der Reaktion des Sparkassen-Finanzservice auf den Sparkassen-Kunden Phishing-Angriff wollte ich wissen, was die Volksbanken\/Raiffeisenbanken e.G. so tut. Das ist ja so etwas wie die Dachorganisation des betreffenden Bankenverbandes. Ideal w\u00e4re es, wenn ich auf der Webseite eine Kontaktadresse f\u00e4nde, wo Phishing-Mails gemeldet werden k\u00f6nnen.<\/p>\n

Dort k\u00f6nnte dann ein \"take-down\" der Phishing-Sites eingeleitet und ggf. zentral gewarnt werden. Nat\u00fcrlich best\u00e4nde die M\u00f6glichkeit, dass ein Kunde seine Volks- oder Raiffeisenbank \u00fcber den Phishing-Angriff informiert. Macht aber wenig Sinn, da ich dann in die \"Kleinstaaterei des 1800ten Jahrhunderts\" zur\u00fcckfalle. Meine Voba in Kleinischendorf reagiert, die Voba in Gro\u00dfischendorf auf der anderen Seite der Stra\u00dfe geh\u00f6rt zu einer anderen Genossenschaft und bekommt nichts mit.<\/p>\n

Eine Suchmaschine hat mir dann die Webseite Vor betr\u00fcgerischen E-Mails sch\u00fctzen<\/a> der Volks- und Raiffeisenbanken ausgewiesen \u2013 wo ich eine Menge erfahre, was ich bei Phishing-Versuchen nicht machen soll. Allerdings war im Hinblick \"wie melde ich einen Phishing-Angriff und wer k\u00fcmmert sich drum\" Fehlanzeige. Eine Suche auf den betroffenen Webseiten dieser Bank nach Phishing ergibt keinen Treffer. Ich habe daher mal die Presseabteilung des Verbands der Volksbanken\/Raiffeisenbanken e.G<\/a>. angefragt, wie man die Sachlage so sieht und ob es eine entsprechende zentrale Meldestelle f\u00fcr Phishing-Mails gibt. Eine Reaktion werde ich nachtragen.<\/p>\n

Anmerkung: Eine richtige Reaktion ist meiner Erinnerung nach nie erfolgt.<\/p><\/blockquote>\n

Was mich richtig \u00e4rgert<\/h2>\n

Unverhofft kommt oft \u2013 nach dieser Devise ist mir noch eine weitere Phising-Mail an Sparkassenkunden ins Postfach geflattert.<\/p>\n

<\/p>\n

Nix spektakul\u00e4r Neues \u2013 und wer in der deutschen Sprache zuhause ist, wird sich \u00fcber die orthographischen Fehler wundern. So weit so gut \u2013 ich machte dann aber den Elchtest in verschiedenen Browsern. Denn die Browserhersteller \"werben\" ja mit ihren Phishing-Filtern (Smartscreen-Filter beim IE). Gut, ein ganz frischer Angriff wird wohl nicht erkannt \u2013 und die Phishing-Angriffe werden wohl ausgefeilter, so dass Automatismen eventuell nicht anschlagen. Ich habe bei beiden Phishing-Mails also die Links im Internet Explorer 11, sowie im aktuellen Google Chrome und im Firefox aufgerufen. Der Smartscreen-Filter des IE 11 kennt die auf Sparkassenkunden zielende Phishing-Site und zeigt das hier.<\/p>\n

<\/p>\n

Der Google Chrome-Browser l\u00e4sst mich auf die Phishing-Webseite \u2013 genau wie der aktuelle Firefox-Browser. Bei der Phishing-Site, die auf Volksbank-Kunden zielt, sieht die Sachlage wiederum anders aus. Der Internet Explorer zeigt mir eine Anmeldeseite einer vorgeblichen Bankseite an \u2013 sauber, kann man sich gleich anmelden \u2026<\/p>\n

<\/a><\/p>\n

Nur der Benutzer, der einen Blick in das Adressfeld des Browsers wirft, stellt fest, dass da die Site infoindiaholliday.com<\/em> sowie keine https<\/em>-\u00dcbertragung verwendet wird.<\/p>\n

Den Sitebetreiber habe ich zwischenzeitlich \u00fcber den Hack informiert und auch die Geschichte mit einer take-down-Bitte an s-cert@s-cert.de<\/a><\/em> gemeldet<\/p><\/blockquote>\n

Der Versuch, die URL im Google Chrome aufzurufen, endet nun aber \u00fcberraschenderweise mit dieser Anzeige.<\/p>\n

<\/p>\n

Also kennt Google die Phishing-Site schon und blockt diese im Browser. Auch der Firefox meldet mir die URL als Phishing-Versuch \u2013 also auch die Mozilla-Server wissen Bescheid.<\/p>\n

<\/p>\n

Mir schwillt der Kamm!<\/h3>\n

Das ist nun die Stelle, wo mir heute zum zweiten Mal gewaltig der Kamm schwillt. Da gibt es also drei Browserhersteller, die so was wie Phishing-Filter betreiben und vorgeblich nur das Beste in Punkto Sicherheit f\u00fcr den Anwender wollen. Aber auf die Idee, die Phishing-Filter-Datenbest\u00e4nde untereinander abzugleichen (oder ggf. mal die Datenbank des Mitbewerbs abzufragen), kommt wohl keiner. Ganz langsam zum Mitschreiben: W\u00fcrden die drei hier betrachteten Browserhersteller die Phishingfilter untereinander abgleichen, w\u00e4ren beide Phishing-Versuche zuverl\u00e4ssig abgefangen worden!<\/p>\n

Aber so bleibt das bittere Fazit: Das Anti-Phishing-Geraffel der Browserhersteller (z.B. O-Ton Mozilla \"Wir bauen ein besseres Internet\") kannst Du knicken, weil Du im Zweifelsfall im Regen stehst. Lotteriegesteuert kannst Du Gl\u00fcck haben, wenn Du gerade im richtigen Browser unterwegs bist. Sch\u00f6nes Wochenende euch da drau\u00dfen \u2013 ach ja, ich werde die Pressestellen von Microsoft, Google und der Mozilla-Stiftung mal anmailen und nachfragen, was man dazu so denkt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Und t\u00e4glich gr\u00fc\u00dft das Murmeltier \u2013 das ging mir beim Schreiben dieses Blog-Beitrags durch den Kopf. K\u00fcrzlich habe ich hier und hier einen Phishing-Angriff auf Sparkassen-Kunden, samt den Irrungen und Wirrungen, im Blog dokumentiert. Und jetzt ist mir durch Zufall … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,908,426],"tags":[1014,44,1417,4338,3175,32,4328],"class_list":["post-147466","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-internet","category-sicherheit","tag-chrome-browser","tag-firefox","tag-ie","tag-internet","tag-phishing","tag-phishingfilter","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/147466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=147466"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/147466\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=147466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=147466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=147466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}