Phishing-Angriff auf Spar-, Volks- und Raiffeisenbank-Kunden

SicherheitUnd täglich grüßt das Murmeltier – das ging mir beim Schreiben dieses Blog-Beitrags durch den Kopf. Kürzlich habe ich hier und hier einen Phishing-Angriff auf Sparkassen-Kunden, samt den Irrungen und Wirrungen, im Blog dokumentiert. Und jetzt ist mir durch Zufall je eine Phishing-Mail, die Kunden von Sparkassen- sowie Volks- und Raiffeisenbanken anlässlich der SEPA-Umstellung auf’s Glatteis locken will, zugegangen. Hab dann etwas recherchiert und spontan beschlossen, mal wieder einen Blog-Beitrag drüber zu machen. Ach ja, das Murmeltier ist mir dann auch irgendwie entgegen gesprungen …

Die Phishing-Mails – so weit so schlecht

Die Phishing-Mail an Volks- und Raiffeisenbank-Kunden, die mir per E-Mail zu ging, greift die SEPA-Umstellung auf und versucht Kunden zur Preisgabe der Daten zu verleiten. Hier ein Screenshot der E-Mail, die nicht schlecht gemacht ist.

Die meisten Kunden erkennen den Phishing-Angriff vermutlich, denn beim Zeigen auf den Link wird mir (hier im Thunderbird Mail-Client) die wahre Website angezeigt. Ich habe in obiger Abbildung auch gleich das Kontextmenü eingeblendet, über dessen Befehl man direkt aus dem Thunderbird die betreffende URL als Betrugsversuch melden kann. Wer das nicht mitbekommt, den Link anklickt und dann die Seite im Browser besucht, erhält u.U. folgende Darstellung.

Hier sind die Täter in meinen Augen recht ungeschickt vorgegangen. Es gibt zwar eine nette Einführung in SEPA – wohl von einer Bankseite geklaut. Aber man muss das Browserfenster schon stark vergrößern oder per Bildlaufleiste nach rechts blättern, um das oben sichtbare Formular zu finden. Und dort wird versucht, persönliche Benutzerdaten samt PIN abzufischen. Trotzdem tippe ich darauf, dass es Leute gibt, die darauf hereinfallen.

Und wie reagiert die Volksbanken/Raiffeisenbanken e.G. auf Phishing?

Nach meinen Erfahrungen ich hier und hier mit der Reaktion des Sparkassen-Finanzservice auf den Sparkassen-Kunden Phishing-Angriff wollte ich wissen, was die Volksbanken/Raiffeisenbanken e.G. so tut. Das ist ja so etwas wie die Dachorganisation des betreffenden Bankenverbandes. Ideal wäre es, wenn ich auf der Webseite eine Kontaktadresse fände, wo Phishing-Mails gemeldet werden können.

Dort könnte dann ein „take-down“ der Phishing-Sites eingeleitet und ggf. zentral gewarnt werden. Natürlich bestände die Möglichkeit, dass ein Kunde seine Volks- oder Raiffeisenbank über den Phishing-Angriff informiert. Macht aber wenig Sinn, da ich dann in die „Kleinstaaterei des 1800ten Jahrhunderts“ zurückfalle. Meine Voba in Kleinischendorf reagiert, die Voba in Großischendorf auf der anderen Seite der Straße gehört zu einer anderen Genossenschaft und bekommt nichts mit.

Eine Suchmaschine hat mir dann die Webseite Vor betrügerischen E-Mails schützen der Volks- und Raiffeisenbanken ausgewiesen – wo ich eine Menge erfahre, was ich bei Phishing-Versuchen nicht machen soll. Allerdings war im Hinblick „wie melde ich einen Phishing-Angriff und wer kümmert sich drum“ Fehlanzeige. Eine Suche auf den betroffenen Webseiten dieser Bank nach Phishing ergibt keinen Treffer. Ich habe daher mal die Presseabteilung des Verbands der Volksbanken/Raiffeisenbanken e.G. angefragt, wie man die Sachlage so sieht und ob es eine entsprechende zentrale Meldestelle für Phishing-Mails gibt. Eine Reaktion werde ich nachtragen.

Anmerkung: Eine richtige Reaktion ist meiner Erinnerung nach nie erfolgt.

Was mich richtig ärgert

Unverhofft kommt oft – nach dieser Devise ist mir noch eine weitere Phising-Mail an Sparkassenkunden ins Postfach geflattert.

Nix spektakulär Neues – und wer in der deutschen Sprache zuhause ist, wird sich über die orthographischen Fehler wundern. So weit so gut – ich machte dann aber den Elchtest in verschiedenen Browsern. Denn die Browserhersteller „werben“ ja mit ihren Phishing-Filtern (Smartscreen-Filter beim IE). Gut, ein ganz frischer Angriff wird wohl nicht erkannt – und die Phishing-Angriffe werden wohl ausgefeilter, so dass Automatismen eventuell nicht anschlagen. Ich habe bei beiden Phishing-Mails also die Links im Internet Explorer 11, sowie im aktuellen Google Chrome und im Firefox aufgerufen. Der Smartscreen-Filter des IE 11 kennt die auf Sparkassenkunden zielende Phishing-Site und zeigt das hier.

Der Google Chrome-Browser lässt mich auf die Phishing-Webseite – genau wie der aktuelle Firefox-Browser. Bei der Phishing-Site, die auf Volksbank-Kunden zielt, sieht die Sachlage wiederum anders aus. Der Internet Explorer zeigt mir eine Anmeldeseite einer vorgeblichen Bankseite an – sauber, kann man sich gleich anmelden …

Nur der Benutzer, der einen Blick in das Adressfeld des Browsers wirft, stellt fest, dass da die Site infoindiaholliday.com sowie keine https-Übertragung verwendet wird.

Den Sitebetreiber habe ich zwischenzeitlich über den Hack informiert und auch die Geschichte mit einer take-down-Bitte an s-cert@s-cert.de gemeldet

Der Versuch, die URL im Google Chrome aufzurufen, endet nun aber überraschenderweise mit dieser Anzeige.

Also kennt Google die Phishing-Site schon und blockt diese im Browser. Auch der Firefox meldet mir die URL als Phishing-Versuch – also auch die Mozilla-Server wissen Bescheid.

Mir schwillt der Kamm!

Das ist nun die Stelle, wo mir heute zum zweiten Mal gewaltig der Kamm schwillt. Da gibt es also drei Browserhersteller, die so was wie Phishing-Filter betreiben und vorgeblich nur das Beste in Punkto Sicherheit für den Anwender wollen. Aber auf die Idee, die Phishing-Filter-Datenbestände untereinander abzugleichen (oder ggf. mal die Datenbank des Mitbewerbs abzufragen), kommt wohl keiner. Ganz langsam zum Mitschreiben: Würden die drei hier betrachteten Browserhersteller die Phishingfilter untereinander abgleichen, wären beide Phishing-Versuche zuverlässig abgefangen worden!

Aber so bleibt das bittere Fazit: Das Anti-Phishing-Geraffel der Browserhersteller (z.B. O-Ton Mozilla „Wir bauen ein besseres Internet“) kannst Du knicken, weil Du im Zweifelsfall im Regen stehst. Lotteriegesteuert kannst Du Glück haben, wenn Du gerade im richtigen Browser unterwegs bist. Schönes Wochenende euch da draußen – ach ja, ich werde die Pressestellen von Microsoft, Google und der Mozilla-Stiftung mal anmailen und nachfragen, was man dazu so denkt.

Dieser Beitrag wurde unter Allgemein, Internet, Sicherheit abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Phishing-Angriff auf Spar-, Volks- und Raiffeisenbank-Kunden

  1. Günter Born sagt:

    Nachtrag: Fixe Reaktion des S-Cert-Teams

    Obwohl Samstag ist, und ich so um 10:45 die Benachrichtigungen verschickt habe, trudelte bereits um 15:53 folgende Antwort ein:

    Sehr geehrter Herr Born,

    vielen Dank für die Weiterleitung der E-Mail.
    Wir haben die notwendigen Maßnahmen zur Abschaltung der Phishing-Seite bereits eingeleitet.

    Mit freundlichen Grüßen

    S-CERT Koordinierungsstelle – Computer-Notfallteam der
    Sparkassen-Finanzgruppe

    Thumbs up. Mal schauen, was auf die anderen Mails zurückkommt.

  2. Werner Schöttler sagt:

    Hallo Herr Born,
    auf der Suche nach einer Meldestelle für Pishing-Versuche bin ich auf Ihre Seite gestoßen – eine Meldestelle habe ich für Deutschland nicht gefunden nur einige in Österreich.
    Es gibt aber einen relativ aktuellen Beitrag (vom Bund?), in welchem darüber nachgedacht wird, eine solche Meldestelle einzurichten.
    Könnte man nicht solonge die Mails an unsere Kanzlerin weiterleiten? Die lernt doch gerade Internet.
    Meine Mails stammen übrigens von PayPal (vor 14 Tagen) und der Postbank. Beide mit dem gleichen Betreff: Ihr Konto wurde vorübergehend eingeschränkt.
    Das PayPal konto nutze ich seit vielen Jahren nicht mehr. Ein Postbankkonto besitze ich nicht.
    Fals Sie die eMail Adresse der Kanzlerin kennen – bitte schicken, ich werde diese Mails weiterleiten.

    Vielen Dank, W.S.

    • Günter Born sagt:

      @Werner: Die Phishing-Mails an irgend eine Behörde weiter zu leiten, halte ich persönlich für kontraproduktiv. Ändern am Sachverhalt nichts, beschäftigt aber irgend eine arme Seele im betreffenden Büro. Bei PayPal habe ich wohl gepennt, sonst hätte ich mit denen Kontakt aufgenommen. Können Sie ggf. nachholen – möglicherweise haben die eine Gruppe, die für Take-down-Notices verantwortlich ist. Ansonsten ggf. auch die Postbank kontaktieren.

      Es hilft nur, wenn sich entsprechend viele Kunden bei den betreffenden Instituten oder deren Dachorganisationen melden und eine Meldestelle einfordern. Wobei mir jetzt einfällt, weder die Presseabteilungen von Microsoft, Google und Mozilla haben auf meine Anfrage reagiert, warum man die Phishing-Filter nicht untereinander abgleicht. Und die Pressestelle der Volks- und Raiffeisenbanken-Dachorganisation spielt offenbar auch „toter Mann“ (ich habe lediglich gesehen, dass einige Leute bei denen meine Mail abgerufen haben – dann ist nix mehr passiert). Macht euch einen eigenen Reim drauf …

  3. Günter Born sagt:

    Aktuell kreist auch eine Phishing-Nachricht, die Kunden der Comdirect-Bank adressiert. Der Server scheint aber schon down zu sein. Laut diesem Forum sollen Phishing-Mails an info@comdirect.de geschickt werden. Ich bekomme aber die Rückmeldung, dass die Mail vom Server zurückgewiesen wurde. Sollte ich noch was herausfinden, trage ich es hier nach.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert