{"id":260419,"date":"2021-12-13T00:17:00","date_gmt":"2021-12-12T23:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260419"},"modified":"2021-12-24T02:05:21","modified_gmt":"2021-12-24T01:05:21","slug":"phishing-angriffe-auf-deutsche-kunden-nutzen-qr-codes-um-bankdaten-zu-stehlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/13\/phishing-angriffe-auf-deutsche-kunden-nutzen-qr-codes-um-bankdaten-zu-stehlen\/","title":{"rendered":"Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen"},"content":{"rendered":"

\"SicherheitSchon sind wir beim 13. T\u00fcrchen des Sicherheits-Adventskalenders, welches ge\u00f6ffnet werden darf. Es geht um Phishing von Bankdaten. Seit einigen Wochen l\u00e4uft wohl eine neue Phishing-Kampagne, die auf deutsche E-Banking-Nutzer abzielt. Bei der Kampagne kommen QR-Codes zum Einsatz, um Zugangsdaten von Bankkonten abzufischen. Die Empf\u00e4nger werden \u00fcber eine Reihe von Tricks dazu gebracht, Sicherheitsl\u00f6sungen zu umgehen, die Nachrichten zu \u00f6ffnen und die Anweisungen und zu befolgen.<\/p>\n

<\/p>\n

\"\"Aufgedeckt haben dies Sicherheitsforscher vom Cofense Phishing Defense Center, die das in diesem Beitrag<\/a> dokumentiert haben. Ich bin \u00fcber nachfolgenden Tweet<\/a> der Kollegen von Bleeping Computer auf diese Angriffswelle aufmerksam geworden.<\/p>\n

<\/a><\/p>\n

Dabei stehen als Finanzinstitute besonders Sparkassen und Volksbanken Raiffeisenbanken im Visier. Die Oper erhalten E-Mails mit unterschiedlichem Inhalt. Die Inhalte reichen von angeblichen Nachrichten, die im elektronischen Postfach des Nutzers warten, bis hin zur Bitte um Zustimmung zu von der Bank durchgef\u00fchrten \u00c4nderungen oder der Aufforderung an die Nutzer, sich mit neuen Sicherheitsverfahren vertraut zu machen. Ich hatte vor einigen Tagen im Beitrag Verst\u00e4rkte Phishing-Kampagnen auf Bankkunden (Okt.\/Nov. 2021) \u2013 Teil 1<\/a> auf diesen Sachverhalt hingewiesen. Hier eine Phishing-Mail an Sparkassen-Kunden aus obigem Artikel.<\/p>\n

\"Phishing-Mail<\/p>\n

Im Confense-Artikel<\/a> finden sich weitere Beispiele solcher Phishing-Mails. Das Ziel ist in allen F\u00e4llen dasselbe: Die Benutzer sollen dazu verleitet werden, sich auf der Bank-Website anzumelden und den Angreifern ihre Anmeldedaten zu \u00fcbermitteln. Dabei verweisen die Links zum Einloggen auf\u00a0 kompromittierte Dom\u00e4nen als Umleitungs-URLs und Phishing-Seiten.\u00a0 Es wurde auch beobachtet, dass Angreifer den Feed-Proxy-Dienst FeedBurner von Google f\u00fcr Umleitungen missbrauchten.\u00a0 In j\u00fcngster Zeit haben die Angreifer jedoch ihre eigenen benutzerdefinierten Domains sowohl f\u00fcr die Weiterleitung als auch als endg\u00fcltige Zielseiten registriert. Wenn sich der Nutzer nicht in Deutschland befindet, wird er auf eine andere Seite umgeleitet.<\/p>\n

Wechselnde Domains und QR-Codes<\/h2>\n

Diese neueren Phishing-Seiten haben je nach Zielinstitut (\"spk\" f\u00fcr Sparkasse oder \"vr\" f\u00fcr Volksbanken Raiffeisenbanken) die folgende URL-Struktur<\/p>\n

hxxps:\/\/{spk\/vr}-{zuf\u00e4llige(s) deutsche(s) Wort(e)}.com\/{10 alphanumerische Zeichen}<\/em><\/p>\n

Das PDC hat mehrere Beispiele f\u00fcr diese neu registrierten Dom\u00e4nen fefunden. Bemerkenswert ist, dass die meisten denselben russischen Registrar, REG.RU, verwenden. In einigen der neuesten E-Mails f\u00fcgen die Angreifer QR-Codes ein, die, wenn sie gescannt werden, den Nutzer zu einer dieser neuen b\u00f6sartigen Dom\u00e4nen f\u00fchren, um Mobile-Banking Nutzer zu k\u00f6dern.<\/p>\n

Die Phishing-Seiten sind recht \u00e4hnlich aufgebaut. Die Benutzer werden zun\u00e4chst nach dem Standort ihrer Bank oder deren BLZ-Bankleitzahl,\u00a0 und dann nach dem entsprechenden Benutzernamen und der PIN gefragt. Sobald diese Informationen eingegeben wurden, wird der Benutzer auf einer Ladeseite aufgefordert, auf die Best\u00e4tigung zu warten, bevor die Anmeldeseite erneut angezeigt wird, diesmal mit der Warnung, dass die Anmeldedaten falsch sind – eine \u00fcbliche Phishing-Taktik.<\/p>\n

Sp\u00e4testens ab diesem Zeitpunkt haben die Phisher die Anmeldedaten des Bankkunden. Bereits mit diesen Daten kann ziemliches Unheil angerichtet werden, wenn die Bankverbindung f\u00fcr Vertr\u00e4ge oder Bestellungen angegeben wird. Aber es geht noch mehr – wenn auch Transaktionen in der Regel durch einen Einmalcode autorisiert werden m\u00fcssen. Aber mir ist die Tage aufgefallen, dass meine Sparkasse \u00dcberweisungen bis 30 Euro nicht mehr durch einen TAN abgesichert haben will (was sich aber abschalten l\u00e4sst). Hier k\u00f6nnten Betr\u00fcger also \u00dcberweisungen t\u00e4tigen, bis die Sicherheitsmechanismen der Bank anschlagen. Keine guten Aussichten.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1. Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2. Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3. Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4. Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6. Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7. Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8. Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9. Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10. Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11. Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16: H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n

Artikel:<\/strong>
\nVerst\u00e4rkte Phishing-Kampagnen auf Bankkunden (Okt.\/Nov. 2021) \u2013 Teil 1<\/a>
\nUnterm Radar: Gefahr durch Smartphones und Unachtsamkeit (Okt.\/Nov. 2021) \u2013 Teil 2<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nAVM warnt vor Phishing-Mails mit FRITZ!Box-Anrufbeantworternachricht<\/a>
\nPhishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\nPhishing per Signal-Messenger App?<\/a>
\nVorsicht: Phishing-Mail zielt auf Comdirect-Bankkunden<\/a>
\nVorsicht: Phishing-Mail zielt auf Sparkassenkunden<\/a>
\nGoogle Forms & Telegram f\u00fcr Phishing-Angriffe genutzt<\/a>Achtung: Phishing\/Malware-Verbreitung \u00fcber Google-Forms<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Schon sind wir beim 13. T\u00fcrchen des Sicherheits-Adventskalenders, welches ge\u00f6ffnet werden darf. Es geht um Phishing von Bankdaten. Seit einigen Wochen l\u00e4uft wohl eine neue Phishing-Kampagne, die auf deutsche E-Banking-Nutzer abzielt. Bei der Kampagne kommen QR-Codes zum Einsatz, um Zugangsdaten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260419","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260419"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260419\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}