Vor zwei Wochen hatte ich vor einem Phishing-Angriff auf Sparkassenkunden gewarnt. Im Rahmen der SEPA-Umstellung kreist eine neue Phishing-Mail im Internet. Nun ist es nicht so, dass dieses Blog zur „Phishing-Warnstelle für Bankkunden“ verkommt. Aber ich habe mal wieder unschöne Entdeckungen gemacht, die ich hier im Blog zumindest thematisieren möchte.
Phishing-Versuch im Rahmen der SEPA-Umstellung
Auf die Phishing-Mail hat mich Blog-Leser Marc aufmerksam gemacht. Hier ein Screenshot der weitergeleiteten Mail in meinem E-Mail-Client.
Zeigt man auf den angegebenen Link, blendet der Thunderbird natürlich die wahre URL (http:// apeg-unprg. com/www.sparkasse.de/sepa-umstellung.htm) in der Statusleiste ein – und man erkennt, dass das Ganze zur Domain apeg-unprg. com umgeleitet wird. Die Site ist bei go-daddy.com gehostet und läuft am 10.3.2014 aus (ich habe gleich mal eine abuse-Mail an godaddy geschickt).
Und was sagen die Phishing-Filter der Browser?
So weit so schlecht. Nun dachte ich „mach mal eine schnellen Überprüfung im Browser, ob das vielleicht von den Phishing-Filtern erkannt wird“ (Blog-Leser Marc hatte mich darauf aufmerksam gemacht, dass bei ihm die Mail als Phishing-Versuch gemeldet wurde).
Der Aufruf im Internet Explorer 11 unter Windows 7 brachte mir die obige Anzeige im Browser. Ein Seite mit einer etwas unförmigen Grafik sowie ein Formular am rechten Rand, welches die PIN abfischen soll. Nun ja, die Phishing-Domain hätte nun ja ganz frisch sein können.
und nun Firefox und Google Chrome befragen …
Also mal den Firefox und den Google Chrome aufgerufen und folgende Anzeigen erhalten :
Sowohl Mozilla als auch Google haben die Site wohl auf dem Index (deren Browser nutze ich bevorzugt) – aber bei Microsoft tut sich nix – der Smartscreen-Filter kennt die Site nicht. Wisst ihr, was mich jetzt da dran ärgert? Da klingelt was im Hinterkopf – hatte ich doch bei diesem Phishing-Angriff die inkriminierte Website im IE an Microsoft gemeldet, aber es tat sich tagelang nix. Erst beim heutigen Kontrollaufruf wurde ich mit dieser Anzeige begrüßt.
Die Phishing-Filter der Browserhersteller arbeiten schon – aber Microsoft scheint mir, zumindest nach meinem subjektiven Eindruck, hinterher zu hinken. Bedeutet: Ich muss als Surfer weiterhin meinen Verstand eingeschaltet lassen – denn im Fall des Falles wirkt das Sicherheitsnetzt des Phishing-Filters nicht.
So meldet man eine Phishing-Site im IE
Ich habe jetzt die URL über die Befehle Sicherheit/Unsichere Website melden (siehe folgendes Bild) des IE an Microsoft gemeldet und schaue, wie lange es dauert, bis die URL im Smartscreen-Filter erfasst wird.
Noch eine Merkwürdigkeit …
Blog-Leser Marc kannte meinen Artikel Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden und hat auch brav den Phishing-Versuch an warnung@sparkasse.de gemeldet. Was ihn ziemlich erstaunte, war die erhaltene Antwort. Er schreibt mir dazu:
wüsste ich nicht, dass ich die Mail soeben verschickt habe, wäre ich selbst bei nachstehender Info skeptisch.
zumal diese den rechtlichen Mindest-Anforderung im geschäftlichen Kundenverkehr nicht entspricht. http://www.it-recht-kanzlei.de/e-mail-pflichtangaben-impressum.html bzw. http://www.seceidos.de/fileadmin/media/documents/exclaimer_EULegislation_de.pdf
dh. es sind weder Geschäftsführer noch sonstige Dinge angegeben.
Auch sollte das Corporate Id. der Sparkasse o.ä. oder eine dig. Signatur vorhanden sein
das lustige ist, dass google diese ebenfalls als spam „deklariert“ und somit der „normale/unbedarfte User“ diese evtl. erst gar nicht liest. (nachstehend ein screenshot)
Ein Hinweis auf die Sperr-Hotline 116116 – www.sperr-notruf.de wie bspw. in der Sparkasse-App vermerkt sucht man auch vergebens, denn wie soll/will ich heute meine Bank erreichen?
Hier ist ein Screenshot der Mail, die er erhalten hat.
Marc hat wohl eine E-Mail-Weiterleitung für sein gmx.de-Postfach an ein Google Mail-Konto eingerichtet. Und bei GMail wird die Antwortmail der Sparkasse wohl als Spam klassifiziert. Irgendwie hat Marc mit seinen Bemerkungen daher nicht ganz unrecht – ich werde den Blog-Beitrag jetzt den Leuten bei s-cert.de zur Kenntnis bringen – möglicherweise können die intern mal klären, was da Sache ist und warum die Rückantwort von warnung@sparkasse.de da als Spam segelt.
Und als Nachtrag zur unter [a1] gemeldeten Attacke: Ich hatte – nachdem ich da entsprechend belehrt wurde – die Info über den Phishing-Angriff im Nachgang auch an meine Sparkasse gemeldet. Bis heute erhielt ich nur einen Autoresponder, dass man das an die Technik weiterleite.
Ich möchte jetzt kein Bashing der Art „alles Deppen da“ anfangen – aber das ist alles nicht wirklich schön. Der Werbespruch „Bei uns sind Sie in guten Händen“ mancher Institute mag da irgendwie nicht richtig zünden.
Ähnliche Artikel:
a1: Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden
a2: Nachlese: Phishing-Angriff gestoppt – Word Online-App aus dem Store geflogen
Diese Antwort der Sparkasse ist „Standard“ – wenn denn überhaupt eine kommt… Aber bei den Volksbanken sieht’s auch nicht besser aus. Allgemein gilt wohl: Bewusstsein für Gefährdungen und Kundenservice mangelhaft.
@GF. Schulze
hast du evtl. Infos zu VoBa-Sicherheits-Center o.ä. – damit die Blog-Leser bei Bedarf gleich darauf zurückgreifen können.
PS: zumal die og. Mail nun für die VoBa-Kunden die Runde macht ;-)
aktuell scheint mal wieder eine Welle anzurollen
Absender >>> From: „www.sparkasse.de“