{"id":277189,"date":"2023-01-25T07:09:55","date_gmt":"2023-01-25T06:09:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277189"},"modified":"2023-01-26T05:06:55","modified_gmt":"2023-01-26T04:06:55","slug":"vorsicht-sparkassen-phishing-per-sms-zu-apple-pay-zahlungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/25\/vorsicht-sparkassen-phishing-per-sms-zu-apple-pay-zahlungen\/","title":{"rendered":"Vorsicht: Sparkassen-Phishing (per SMS) zu Apple Pay"},"content":{"rendered":"

\"SicherheitIch greife mal wieder ein Sicherheitsthema auf. Es geht um Phishing-Angriffe auf Online-Banking-Kunden der Sparkassen – klappt aber auch mit anderen Banken. Die Betr\u00fcger verschicken eine SMS, die behauptet, dass eine Apple Pay-Verbindung hergestellt worden sei. Dem Opfer wird eine Stornierung dieser Verbindung angeboten, wobei das Ziel die Abfischung der Zugangsdaten ist.<\/p>\n

<\/p>\n

\"\"Ich habe mich dazu entschlossen, das Thema erneut als Warnung hier im Blog einzustellen, auch wenn die Meisten aus der Blog-Leserschaft nicht auf den Phishing-Versuch hereinfallen. Aber das Thema kann nicht oft genug \u00f6ffentlich gemacht werden, um Leute zu sensibilisieren.<\/p>\n

Eine Lesermeldung<\/h2>\n

Es war eine pers\u00f6nliche Mitteilung aus der Leserschaft, die mich auf die neue Masche aufmerksam machte (danke daf\u00fcr). Die Person schrieb mir:<\/p>\n

Das riecht verd\u00e4chtig nach Phishing, oder? Ich habe weder Apple Pay noch ein Konto bei der Sparkasse.<\/p><\/blockquote>\n

und postete nachfolgenden Screenshot, der per SMS auf dem Smartphone eingetrudelt war. Dort wurde lediglich behauptet, dass eine Apple Pay-Verbindung hergestellt worden sei.<\/p>\n

\"Phishing<\/p>\n

Eine solche Pay-Verbindung ist erforderlich, um Zahlungen per Smartphone \u00fcber den betreffenden Dienst vornehmen zu k\u00f6nnen. Die Phishing-SMS soll dem Opfer suggerieren, dass Dritte diese Verbindung eingerichtet h\u00e4tte. Freundlicherweise wird eine Option zur Stornierung per Links angeboten.<\/p>\n

An dieser Stelle sollten bereits alle Warnlampen beim Opfer leuchten, denn die Bank wird eher keine Benachrichtigung per SMS versenden. Bei der Leserin war es so, dass sie weder Apple Pay noch die Sparkasse als Bank verwendet – der Fall war also klar.<\/p>\n

Zieladresse auf Virustotal (noch) sauber<\/h2>\n

Auch die Zieladresse, die irgendwo auf s-alert.info<\/em> verweist, ist f\u00fcr mich bereits obskur – denn die geh\u00f6rt nicht zum Sparkassenverband. Ich habe mir aber mal den Spa\u00df gemacht, die Zieladresse zu \u00fcberpr\u00fcfen.<\/p>\n

\"s-alert.info<\/p>\n

Auf Virustotal wird die betreffende URL<\/a> als \"sauber\" angezeigt. Wer dieser Quelle glaubt, stuft die Zielseite daher als unbedenklich ein – was aber nicht der Fall ist.<\/p>\n

Klassischer Phishing-Ansatz<\/h2>\n

An dieser Stelle hei\u00dft es also: Die Zieladresse ggf. weiter zu analysieren (sollte man nur tun, wenn man die Folgen halbwegs absch\u00e4tzen kann). Ruft das Opfer die Ziel-URL auf, gelangt es auf eine Webseite, die das Logo der Sparkasse zeigt (siehe nachfolgenden Screenshot).<\/p>\n

\"s-alert.info<\/p>\n

Was st\u00f6rt: Es wird unter ALERTplus(c): Filialauswahl <\/em>gebeten, die Filiale einzugeben. Eine Bank, die mit dem Kunden in Gesch\u00e4ftsbeziehungen steht, sollte eigentlich die Filiale kennen. Klickt der Empf\u00e4nger der Mail auf obiger Webseite auf den Link Sicherheitshinweise<\/em>, zeigt der Browser einen Fehler an, weil die Zielseite nicht existiert. Die Hinterm\u00e4nner der Phishing-Attacke haben sich also nicht allzu viel M\u00fche gegeben.<\/p>\n

Sinn und Zweck der obigen Formularseite ist es, das Opfer auf eine Phishing-Seite zu lotsen, auf der dann die Zugangsdaten zum Bankkonto abgefragt werden. Gibt das Opfer die Daten dort ein, haben die T\u00e4ter zumindest Zugriff auf das Online-Bankkonto. Denkbar w\u00e4re auch, einen TAN-Code f\u00fcr die Stornierung anzufordern, und diesen dann f\u00fcr eine \u00dcberweisung zu verwenden – das habe ich nicht mehr evaluiert.<\/p>\n

Phishing-Seite heute \"clean\"<\/h3>\n

Seit heute Nacht ist der Inhalt der Phishing-Seite \u00fcbrigens verschwunden, der obige Screenshot wurde von mir am gestrigen Dienstag, den 24. Januar 2023, angefertigt. Aktuell kommt nur noch die Meldung Success Your new web server is ready to use.<\/em> Entweder wurde die Domain vom Provider ges\u00e4ubert, oder die Betr\u00fcger haben den Inhalt gel\u00f6scht, um eine Detektion als gef\u00e4hrlich durch Sicherheitssoftware zu verhindern, in der Hoffnung, diese URL f\u00fcr weitere Kampagnen missbrauchen zu k\u00f6nnen.<\/p>\n

Weitere Pr\u00fcfungen<\/h3>\n

Interessant ist, dass die Zielseite mit einem SSL-Zertifikat ausgestattet ist. Ich habe dann mal auf dem Desktop auf das Schloss vor dem https<\/em>-Teil der URL geklickt, und mir \u00fcber das Men\u00fc Verbindung ist sicher -> Zertifikat ist g\u00fcltig <\/em>das Zertifikat unter Windows anzeigen zu lassen.<\/p>\n

\"Zertifikat<\/p>\n

Obiger Screenshot zeigt, dass dieses Zertifikat erst am 23.1.2023 ausgestellt wurde und nur bis zum 23.4.2023 l\u00e4uft. Es ist sogar ein Wildcard-Zertifikat, ausgestellt von Google Trust Services (GTS). Da hat jemand wirklich ein SSL-Zertifikat f\u00fcr s-alert.info<\/em> ausstellen lassen.<\/p>\n

Whois-Abfragen der URL f\u00fchren nicht weiter, da die Angaben, wer die Seite registriert hat, aus Datenschutzgr\u00fcnden wohl nicht mehr offen gelegt werden – in den Feldern erscheint \"Redacted\".<\/p>\n

Abschlie\u00dfendes Fazit<\/h2>\n

Was bleibt: Der Phishing-Ansatz kann zwar mit ein wenig Nachdenken wegen zu vieler Ungereimtheiten schnell erkannt werden. Aber ich gehe davon aus, dass einige der \"digital natives\", die ganz fortschrittlich mit Apple Pay unterwegs sind, reinfallen werden. Neu war f\u00fcr mich, dass die Kriminellen die Phishing-Zielseite bereits wenige Stunden nach Aktivierung wieder funktionslos geschaltet haben, um diese f\u00fcr weiter Kampagnen verwenden zu k\u00f6nnen.<\/p>\n

Virustotal und Sparkasse reagieren<\/h2>\n

Erg\u00e4nzungen:<\/strong> Es wurde in den nachfolgenden Kommentaren erw\u00e4hnt – auf virustotal.com wird die obige Zielseite nun als Phishing-Seite erkannt und von verschiedenen Virenscannern gemeldet.<\/p>\n

\"Sparkassen-Phishing\"<\/p>\n

Zudem wies mich die Leserin darauf hin, dass die Sparkassen wenige Stunden vor meiner Meldung (ich hatte den Beitrag auf Vorrat geschrieben) diesen Ansatz in ihre Sammlung<\/a> als Phishing-Versuch aufgenommen haben. Hier der Text:<\/p>\n

Phishing-Nachrichten unter dem Vorwand einer Apple Pay-Verbindung oder einer verd\u00e4chtigen Zahlung<\/p>\n

Aktuell werden betr\u00fcgerische SMS im Namen der Sparkassen verbreitet. Unter dem Vorwand einer Apple Pay-Verbindung oder einer verd\u00e4chtige Zahlung wird versucht, Sie zum Aufruf einer betr\u00fcgerischen Web-Seite (Phishing-Seite) zu bewegen. Dort werden Ihre Online-Banking-Zugangsdaten, Daten Ihrer Sparkassen-Card sowie weitere pers\u00f6nliche Daten erfragt.<\/p>\n

VORSICHT:\u00a0<\/b>Bitte geben Sie keine Daten auf den Phishing-Seiten ein. Ihre Daten k\u00f6nnten ansonsten von Betr\u00fcgern missbraucht werden, um eine betr\u00fcgerische \u00dcberweisung zu initiieren oder eine digitale Karte Ihrer Sparkassen-Card zu erstellen. Die digitale Karte kann dann wiederum f\u00fcr betr\u00fcgerische Eink\u00e4ufe genutzt werden.<\/p>\n

Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt darum dringend vor diesen SMS. Sofern Sie bereits Daten auf den Phishing-Seiten eingegeben haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs sowie Ihrer Sparkassen-Card umgehend bei Ihrer Sparkasse.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Ich greife mal wieder ein Sicherheitsthema auf. Es geht um Phishing-Angriffe auf Online-Banking-Kunden der Sparkassen – klappt aber auch mit anderen Banken. Die Betr\u00fcger verschicken eine SMS, die behauptet, dass eine Apple Pay-Verbindung hergestellt worden sei. Dem Opfer wird eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277189","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277189"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277189\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}