{"id":286272,"date":"2023-09-24T00:26:00","date_gmt":"2023-09-23T22:26:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286272"},"modified":"2023-09-23T02:06:35","modified_gmt":"2023-09-23T00:06:35","slug":"phishing-mail-kndigt-eine-neue-webseite-der-ing-bank-an-und-greift-daten-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/24\/phishing-mail-kndigt-eine-neue-webseite-der-ing-bank-an-und-greift-daten-ab\/","title":{"rendered":"Phishing-Mail kündigt eine neue Webseite der Ing-Bank an und greift Daten ab"},"content":{"rendered":"![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Heute noch eine kleine Warnung vor einem neuen Phishing-Versuch der auf Kunden die ING-Bank (fr\u00fcher Ing-Diba) zielt. Den Kunden wird suggeriert, dass es eine neue Webseite gebe, die nach monatelangen Tests die alte Version ersetzen soll. Nat\u00fcrlich muss der Kunden \"die neue Seite\" besuchen, um sicherzustellen, dass die neuen Funktionen auch genutzt werden k\u00f6nnen. Dabei werden die Opfer auf eine gef\u00e4lschte Anmeldeseite geleitet und dort werden dann die Zugangsdaten abgezogen.<\/p>\n
<\/p>\n
![\"\"](\"https:\/\/vg01.met.vgwort.de\/na\/dd908a2197d94b42887fc3b936591112\")
Mir ist die betreffende Phishing-Mail bereits am 12. September 2023 zugegangen und konnte offenbar durch den SPAM-Filter von 1&1 schl\u00fcpfen. Ich habe die Mail aufgehoben und zuf\u00e4llig Freitag beim Aufr\u00e4umen des Posteingangs erneut gesehen. Hier ist der Screenshot der Nachricht. <\/p>\n
![\"Ing](\"https:\/\/i.postimg.cc\/Pfz5WB5Y\/image.png\"\/ "\\"Ing")
<\/p>\n
Witzig, der Link \"Hallo Kunde\" f\u00fchrt auf die Google-Suchseite, und der Text klingt f\u00fcr mich so, als h\u00e4tte die Microsoft-Marketing-Abteilung die Meldung \u00fcber die aufregende Entwicklung einer neuen Webseite verfasst. Der K\u00f6der f\u00fcr den Kunden ist die angebliche \u00dcberarbeitung der Ing-Webseite, die nach monatelangen Tests in wenigen Tagen offiziell die alte Version ersetzen werde. Als Karotte f\u00fcr \"diese aufregende Entwicklung\" soll die neue Webseite den Kunden erm\u00f6glichen, die neuesten Funktionen und Verbesserungen zu nutzen, um das Online-Gesch\u00e4ft der Ing-Kunden voranzutreiben. Mir ist noch unklar, wie viele Ing-Kunden sich als \"Betreiber eine Online-Gesch\u00e4fts\" sehen, aber egal. <\/p>\n
Es klingt noch harmlos und f\u00fcrsorglich, dass die Bank bzw. die Entwickler der Webseite es \"f\u00fcr \u00e4u\u00dferst wichtig erachten, sicherzustellen, dass Kunden auch weiterhin Zugriff auf ihre Kontodaten haben und die neuen Funktionen uneingeschr\u00e4nkt nutzen k\u00f6nnen\". Daher bitten die Absender der Nachricht die Empf\u00e4nger der Mail dringend, \"\u00fcber den untenstehenden Button auf Ihr Konto zuzugreifen und Ihre Daten zu \u00fcberpr\u00fcfen\". <\/p>\n
An dieser Stelle f\u00e4llt dem aufmerksamen Beobachter zweierlei auf: Der Hinweis, dass den Entwicklern etwas wichtig im Hinblick auf Kundenbed\u00fcrfnisse erscheint, ist ein Oxymoron und kommt in der Praxis nicht vor. Entwickler machen und konfrontieren die Kunden ohne gro\u00dfe Nachfrage mit dem Ergebnis, egal wie gut oder wie schlecht das ist. Die oben gezeigte Nachricht ist in meinem Kontext Fake, weil Entwickler niemals, auf keinen Fall, so denken und argumentieren. Andererseits w\u00fcrde ein Mitarbeiter einer Bank, so dieser dann ein Rundschreiben an Kunden verfassen w\u00fcrde, niemals von einem Button sprechen – also noch ein Indiz f\u00fcr einen Fake. <\/p>\n
Der gewichtigste Hinweis auf eine Phishing-Nachricht ist aber der Absender, der mit ING info[@]tsystems.com angegeben ist. Die Ing-Bank wird erstens keine Mails verschicken und schon gar nicht \u00fcber tsystems.com<\/em>. Noch ein Hinweis auf einen Phishing-Versuch. Hier noch der Header der Nachricht.<\/p>\n\nFrom - Tue Sep 12 11:46:25 2023\nX-Account-Key: account4\nX-UIDL: 1N95Vv-1rm4lD1cE3-01654c\nX-Mozilla-Status: 0005\nX-Mozilla-Status2: 00000000\nX-Mozilla-Keys: \nReturn-Path: <info@t-systems.com>\nAuthentication-Results: kundenserver.de; dkim=none\nReceived: from t-systems.com ([85.215.162.62]) by mx.kundenserver.de (mxeue002\n [212.227.15.41]) with ESMTP (Nemesis) id 1MVbIC-1r7XDG45h6-00NxIi for\n <g***@***.de>; Tue, 12 Sep 2023 11:43:52 +0200\nFrom: =?UTF-8?B?ItCGTkci?=<info@t-systems.com>\nTo: g***@***.de\nSubject: Benotigte Aktion#38495019\nDate: 12 Sep 2023 09:43:50 +0000\nMessage-ID: <20230912094350.A0E470043AA94B6A@t-systems.com>\nMIME-Version: 1.0\nContent-Type: multipart\/related;\n\tboundary=\"----=_NextPart_000_0012_B550E7B6.C466B295\"\nEnvelope-To: <g***n@***.de>\nX-Spam-Flag: NO\nUI-InboundReport: notjunk:1;M01:P0:XU0nWc2qEy4=;XeLmODJo\/CgjnOFaqi0RTmVqNfB<\/pre>\n<\/blockquote>\nW\u00e4hlt das Opfer die Schaltfl\u00e4che Folge den Schritten <\/em>in der Mail an, wird er auf eine Vorschaltseite *ttps:\/\/ind2diba3ag.page.link\/u9DC<\/em> und von dort auf eine Webseite ing-ag-de[.]com<\/em> weitergeleitet. Beide Seiten werden auf virustotal.com als unauff\u00e4llig gekennzeichnet und auf der zweite Seite wird ein Captcha abgefragt, um Bots und Analyse-Seiten abzuhalten. <\/p>\n![\"Ing](\"https:\/\/i.postimg.cc\/sgG3tH5g\/image.png\"\/ "\\"Ing")
<\/p>\n
Eine WhoIs-Abfrage ergab, dass die Domain erst am 11. September 2023 bei hostgator in den USA registriert wurde. Nach Eingabe des Captcha-Code gelangt der Nutzer auf eine Eingabeseite (siehe obiges Bild), die der Ing-Anmeldeseite perfekt nachgeahmt ist. Bei der Analyse ist mir aber aufgefallen, dass Links in der Seite wie \"Anmeldung mit QR Log-in\"nicht funktional waren – aber auf den ersten Blick handelt es sich um eine Seite, wie der Kunde es von der Ing-Anmeldeseite kennt. Nur die URL im Browser ist seltsam und nat\u00fcrlich dient die Fake-Seite dazu, die Anmeldedaten f\u00fcr das Online-Banking abzugreifen. <\/p>\n
![\"Ing](\"https:\/\/i.postimg.cc\/Z5w6MRFS\/image.png\"\/ "\\"Ing")
<\/p>\n
An dieser Stelle greifen die Sicherungsma\u00dfnahmen der Ing auch nicht, wenn der Kunde die Anmeldung mit einem TAN-Generator oder der Banking-App frei gibt. Eine kurze Pr\u00fcfung der URL auf virustotal.com ergab, dass zumindest Sophos diese als Phishing erkannte. <\/p>\n
\u00c4hnliche Artikel:
<\/strong>Phishing-Mails, die auf Bankkunden (Ing, DKB, Postbank etc.) zielen (Juli 2023)<\/a>
Volksbankkunden werden mit SecureGo-TAN-Phishing abgezogen<\/a>
Phishing-Mail: \"Registrierung f\u00fcr Mastercard\u00ae Identity Check\"; kommt \u00fcber gehackten freshdesk.com-Server<\/a>
Strato-Phishing: Angebliche Verl\u00e4ngerung SSL-Zertifikat<\/a>
Warnung: Phishing-Mail zu \"nicht zugestellten Mails\" zielt auf 1&1-Kunden<\/a>
Warnung vor Phishing-Mails mit S-ID-Check von Sparkassen (August 2023)<\/a>
Phishing-Welle mit Facebook-Security Fake-Absender<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Heute noch eine kleine Warnung vor einem neuen Phishing-Versuch der auf Kunden die ING-Bank (fr\u00fcher Ing-Diba) zielt. Den Kunden wird suggeriert, dass es eine neue Webseite gebe, die nach monatelangen Tests die alte Version ersetzen soll. Nat\u00fcrlich muss der Kunden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-286272","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286272"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286272\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}