Ich packe mal einige Beiträge rund um das Thema Phishing in einem Sammelbeitrag zusammen, um ggf. im Blog mitlesende Endnutzer erneut zu sensibilisieren. Es ist unglaublich, mir ist ein Fall untergekommen, wo Betrüger QR-Codes auf Phishing-Seiten mit Bank-Logo per Brief verschicken. Und Sparkassen-Kunden oder Kunden anderer Banken stehen weiter im Fokus von Cyberangreifern, die Sperren oder Bußgelder androhen. Ist ja bald Abgabefrist für Steuererklärungen – da sind ELSTER-Phishing-Nachrichten zu diesem Thema nicht weit. Hier ein Abriss des täglichen Wahnsinns in diesem Bereich.
Betrugsversuch per QR-Code in Brief der Bank
Es ist einfach unglaublich, aber Franz Neumeier, der einen Blog über Kreuzfahrten betreibt und mir seit Jahrzehnten als Autor, sowie Cheflektor von Computerzeitschriften bekannt ist, halte ich für eine solide Quelle. Die Tage bin ich über einen Post auf Facebook von Franz auf ein spezielles Thema aufmerksam geworden.
Zum Sachverhalt: Eine ältere Dame hatte einen Brief der „Commerzbank“ erhalten, ist sich aber sicher, dort kein Konto zu haben. „Zum Glück hat die Dame auch kein modernes Smartphone, welches QR-Codes scannen kann“, schreibt Franz.
Denn im – per Post versandten und zugestellten Brief der angeblichen „Commerzbank“ fand sich neben dem Hinweis auf die „Sicherheit Ihrer Bankgeschäfte“ mit Aufforderung zur Aktualisierung des photoTAN-Verfahrens ein QR-Code, der angeblich zur Reaktivierung des Verfahrens führt. Der QR-Code führt auf eine Phishing-Seite, die das Ziel hat, persönliche Daten zum Bankkonto und zum Online-Banking zu erhalten und das Konto zu übernehmen. Franz Neumeier hat den Sachverhalt in seinem Blog-Beitrag Warnung vor Banken-Betrugsversuch per QR-Code in Briefpost dokumentiert – vielleicht die potentiellen Kandidaten im persönlichen Umfeld bezüglich dieser neuen Masche informieren. Ein Nutzer hat dann auf Facebook noch auf diesen BR-Beitrag hingewiesen, der diese Problematik, die bisher nur auf München begrenzt scheint, anspricht und vor warnt. Ergänzung: Zufall? Auf Focus gibt es diesen Artikel, der sich ebenfalls mit der Thematik befasst.
Sparkassen-Kunden im Phisher-Fokus
Die Sparkassen betreiben diese Webseite mit gesammelten Sicherheitswarnungen für Online-Banking-Kunden. Im August 2024 gibt es Phishing-Mails, die den angeblichen Ablauf einer Sparkassen-CARD ansprechen. Die Opfer werden aufgefordert, eine Phishing-Seite aufzurufen, dort die Online-Zugangsdaten samt PIN sowie weitere persönliche Daten einzutragen und im Anschluss die Debit-Karte zu zerschneiden.
Eine weitere Phishing-Welle thematisiert fehlerhafte Anmeldeversuche und fordert die Opfer auf, ihre Online-Banking Zugangsdaten und weitere persönliche Daten in einer Phishing-Seite einzugeben. Außerdem werden die Opfer dazu aufgefordert ein Foto Ihres pushTAN-Registrierungsbriefes hochzuladen. Damit haben die Betrüger Zugriff auf das Konto.
Wer auf so etwas hereingefallen ist, sollte sofort mit der Sparkasse Kontakt aufnehmen, um die Sparkassen-Card und den Online-Banking-Zugang sperren zu lassen. Spiegel Online geht in diesem Bericht auf diesen und weitere Phishing-Versuche ein.
ELSTER-Phishing-Alarm
Das Finanzministerium Thüringen hat vor einigen Tagen vor einer ELSTER-Phishing-Welle gewarnt. Im Beitrag heißt es, dass Betrüger per E-Mail versuchen, im Namen des Online-Finanzamts ELSTER oder über gefälschte Webseiten mit ELSTER-Bezug an Informationen von Bürgerinnen und Bürgern zu gelangen.
Die Phishing-Mails werden mit E-Mailadressen wie „elstersportall@t-online.de“ und unter dem Betreff „Infosteuer 2023 Finanzamt“ verschickt und lotsen die Opfer auf gefälschte Webseiten mit ELSTER-Bezug. In der Warnung des Finanzministeriums heißt es, dass offizielle E-Mail-Adressen des ELSTER-Online-Portals immer auf elster.de und nicht auf den Namen eines freien E-Mailanbieters (z.B. t-online.de) enden. Die offiziellen E-Mailadressen enthalten zudem keine Rechtschreibfehler, so das Ministerium. Die oben genannte Beispieladresse ist grammatisch nicht korrekt (die Buchstaben s und l sind zu viel). heise hatte das Thema vor einigen Tagen hier aufgegriffen.
Email ist schnell abgefrühstückt: Wer als Unternehmen oder Behörde nicht in der Lage ist eine DMARC-Policy Reject einzurichten sollte besser kleine Brötchen backen.
Kaputte Mailprogramme, mir fällt nur Apple Mail auf iOS ein, das gespoofte Absender nicht anzeigt (ich bekomme regelmäßig angebliche „Mahnungen“ und „Sicherheitswarnungen“ vom ISP Netcup) tun noch ein übriges.
Das mit den per Briefpost zugestellten Schreiben ist auch ein alter Hut. Wer mit Handelsregister-Eintragungen zu tun hat, erlebt das regelmäßig. Anfangs vor 20 Jahren noch belächelt, heute sind diese täuschend echt mit Amtsgericht Logo, fehlerfreiem deutsch und meist auch Bezug auf laufende Registrierungen oder HR-Änderungen. Gleich mit Überweisungsvordruck. Die Details: Ausländische Bank oder ein komischer Briefumschlag ohne die üblichen Stempel und Aufdrucke fällt in den heute digitalisierten Büros kaum auf, wo eine Zentrale die Briefbögen aufreißt und Briefe einscannt und eine Buchhaltung ohne Nachfragen eine von Vorgesetzten bereits freigegebene Überweisung tätigt.
Ich habe einmal sogar einmal Anzeige erstattet und mich aufgeregt. Bei jeder Kontoeröffnung muss man sich förmlich mit seinen Daten „nackig“ machen, Video-Ident und persönliche Termine über sich ergehen lassen. Aber es ist unmöglich, die Kontoinhaber von solchen Betrügern dingfest zu machen, hier in Europa!
Aus diesem Grund bitte mehr von solchen Betrugsversuchen… es muss richtig wehtun bis sich die Menschen fragen, warum sie mit so einem Sicherheitstheater überzogen werden, der am Ende des Tages sinnfrei bleibt.
“ …Bei jeder Kontoeröffnung muss man sich förmlich mit seinen Daten „nackig“ machen, Video-Ident und persönliche Termine über sich ergehen lassen. Aber es ist unmöglich, die Kontoinhaber von solchen Betrügern dingfest zu machen, hier in Europa!“
Das ist nur bei Kleinkunden so an denen keine Bank wirklich Interesse hat, mit denen lässt sich ja nichts verdienen,
Bei Geschäftskunden reicht grossspuriges Auftreten und die Kontoeröffnung ist kein Problem, und gewerbsmässiger Betrug ist ja auch ein Business.
Man kann nicht immer alles mal per Police rejecten. Man muss auch sicherstellen das korrekte Mails durchkommen. Und das ist ein Spagat.
Kaputte Mailprogramme ist nicht ganz die richtige Definition, wenn die so gestaltet sind, das man nicht alles klar und deutlich angezeigt bekommt. Das sind in meinen Augen designfehler weil man meint nur wesentliches anzeigen zu wollen.
Mit dem Spruch habe ich Probleme und finde das auch nicht passend : „ Aus diesem Grund bitte mehr von solchen Betrugsversuchen“.
Das ist einfach nur so von oben herab und ohne Sinn und Verstand.
Danke für nichts!
es gibt seit vielen Jahren Programme wie Pop Peeper, die man vorschalten kann und die alle Absenderinfos deutlich anzeigen und die auch E-Mail Inhalte rein in Textform anzeigen.
Zumindest Privatanwender oder Selbstständige / kleine Teams können solch ein Programm nutzen, um schnell E-Mails zu vorab zu prüfen, bevor diese das Zielprogramm erreichen.
In der Regel reicht zwar schon die Logik, um Fälschungen zu erkennen, aber spätestens mit einem genaueren Blick auf die Details sollte es ja jeden klar werden.
Bei mir kommt keine einzige E-Mail ungeprüft in eine E-Mail-Software und ohnehin wird vieles weggelöscht, auch wenn keine Betrugsversuch.
Bei Sendungen mit der Post wird natürlich einen Tick schwerer, aber auch dann kann man das umgehen, wenn man nicht sicher ist, man scannt ja nicht ohne Weiteres jeden Code. Im Grunde genommen scanne ich praktisch nie irgendetwas.
> Man kann nicht immer alles mal per Police rejecten.
Sorry das ist Quatsch… Du weißt, was DMARC ist?
> Man muss auch sicherstellen das korrekte Mails durchkommen. Und das ist ein Spagat.
alle Deine Mails sind valide und alle, die von Dritten in Deinem Namen mit Deiner Mail gesendet werden, eben genau nicht und werden von jedem Mailserver verworfen.
> kaputt vs Designfehler
Nenn‘ das Kind wie du willst, wenn mir die echte Absender Email nicht angezeigt wird ist das Programm kaputt!
> …mit dem Spruch habe ich Probleme
Manche lernen halt nur durch Schmerzen, nix von oben herab.
Wie soll denn eine Behörde/ein Unternehmen mittels DMARC verhindern, dass mir jemand eine Mail von „elstersportall _at_ t-online.de“ schickt?
@Peter: For your information -> Erstkommentare werden von mir zur Spam-Abwehr moderiert – gleiches gilt für Links in Kommentaren. Ich habe die vier anderen Kommentar-Doubletten gelöscht.
@Günter
Danke für die Klarstellung. Zur Info:
Als ich die Kommentare abgeschickt habe, hat sich jedes mal einfach nur die Seite refresht und es sah so aus, als sei das Posten des Kommentars schief gegangen. Entschuldige Bitte, dass ich deshalb mehrfach abgeschickt habe. Fürs nächste Mal weiß ich jetzt Bescheid :)
Ich habe aktuell auch gewisse technische Probleme, so dass das Plugin scheinbar nicht meldet, wenn was in Moderation geht. Ist aber in der Prio ganz unten, da essentielleres anliegt.
Auch auf den Verdacht, dass manche mir jetzt Überheblichkeit ankreiden. Wer eine Mail von elstersportal (at) t-online.de für valide hält, dem kann wohl niemand mehr helfen. Wenn Du einen Mail-Clienten nutzt, der Dir den tatsächlichen Absender nicht anzeigt und statt dessen irgendwas anderes, dann schmeiß den Mailclienten raus!
DMARC schützt Dich davor, dass Du never ever eine Spam/Scam Mail von irgendwas (at) elster.de bekommen wirst, die haben nämlich die Policy Reject ordnungsgemäß gesetzt.
Wo ich bei Dir wäre ist die Unsitte von Unternehmen, keine Ordnung bei Ihren Domains und im DNS zu pflegen. Statt einheitlich nur mit einer Domain zu kommunizieren wird da wildwuchs praktiziert, so dass niemand mehr sagen kann, ob nun koeln.sparkassenverband.de valide ist oder eher sparkasse-koeln.de oder am ende doch koeln.tr.ew.ms.sparkas.se
Kommen dann noch Homoglyphen aus anderen Schriftsystemen hinzu, ist es ganz vorbei. Das kyrillische „e“ ist im lateinischen ein anderer Buchstabe, so dass Du „Sparkasse“ zwar siehst, in Wirklichkeit aber in Unicode eine „Sparkass & # 8 2 03 ; “ vor Dir hast.
Ich glaube, DMARC ausreichend zu verstehen. Ich bezog mich darauf, dass du T Sommer wie folgt geantwortet hast.
Dachte, dass geht aus der Position meiner Antwort hervor. Sorry.
Tomas Jakobs:
>>> Email ist schnell abgefrühstückt: Wer als Unternehmen oder Behörde nicht in der Lage ist eine DMARC-Policy Reject einzurichten sollte besser kleine Brötchen backen.
T Sommer:
>> Man kann nicht immer alles mal per Police rejecten.
Tomas Jakobs:
> Sorry das ist Quatsch… Du weißt, was DMARC ist?
Da behält T Sommer halt recht – du kannst mit DMARC nicht einfach alles erschlagen/rejecten.
Es ging im Artikel auch explizit darum, dass die Absende-Adresse eine t-online.de- bzw. Freemailer-Adresse ist und die Behörde sogar extra darauf aufmerksam macht, dass die offiziellen Mail-Adressen immer auf elster.de enden werden und niemals auf irgendwelche Freemailer.
Das ganze hat NULL Relevanz mit DMARC. Thema komplett verfehlt.
>Auch auf den Verdacht, dass manche mir jetzt Überheblichkeit ankreiden. Wer eine Mail von elstersportal (at) t-online.de für valide hält, dem kann wohl niemand mehr helfen.
Ich bin bei dir, dass darauf heutzutage niemand mehr reinfallen sollte, aber die Realität ist nunmal eine andere.
Die Leute müssen wir trotzdem mitschützen. Das geht aber an der Stelle nicht per DMARC.
>DMARC schützt Dich davor, dass Du never ever eine Spam/Scam Mail von irgendwas (at) elster.de bekommen wirst, die haben nämlich die Policy Reject ordnungsgemäß gesetzt.
Depends. Aber das wäre jetzt doch Haarspalterei.
Zu deinen letzten beiden Absätzen:
Stimme ich dir zu – richtige Unsitte.
Aber auch komplett am Thema vorbei.
Schön, das Du Dich so ereiferst und in die Nesseln setzt.
Das Thema das Günter hier blogt zielt in aller Erster Linie auf ENDUSER (!) und nicht auf Firmen / Organisationen oder Behörden.
Und Enduser haben in der Regel einen freien eMail-Provider wie GMX, Freenet, Yahoo, oder andere im Einsatz bzw. nutzen Ihren Vodafone / Telekom Anbieter. Und Viele nutzen gar kein eMail Programm sondern der Browser – das kommt dann auch noch dazu.
Diese Enduser werden dann also DMARC mit reject konfigurieren. Das will ich sehen – vor allem wie ein derartiger Anbieter seinen Kunden erklärt, das er *zu seinem Schutz* erstmal alles reject was nicht DMARC konform rüber kommt. Ist dann halt Pech, wenn ein paar un-/wichtige Mails verloren gehen.
Danke für Nichts!
Gabs hier anfangs Jahr auch schon
Kapo Zürich warnt vor falschen Serafe-Rechnungen
Zurzeit sind vermeintliche Serafe-Rechnungen im Umlauf, mit denen Kriminelle die Adressaten zu Geldüberweisungen verleiten wollen. Bei genauem Hinschauen lässt sich die Betrugsmasche jedoch leicht durchschauen.
https://www.netzwoche.ch/news/2024-01-31/kapo-zuerich-warnt-vor-falschen-serafe-rechnungen
Und das auch erst vor kurzem
Gauner fälschen QR-Codes auf Parkautomaten
Mit gefälschten QR-Codes an Parkautomaten bringen Betrüger Phishing ins echte Leben. Speziell Behörden in Westschweizer Kantonen registrieren vermehrt Fälle der neuen Betrugsmasche.
https://www.netzwoche.ch/news/2024-07-11/gauner-faelschen-qr-codes-auf-parkautomaten
Noch zwei aus der Schweiz
Betrüger phishen mit gefälschten Twint-Mails
Betrüger verschicken Phishing-Mails mit angeblich wichtigen Hinweisen zum Twint-Konto potenzieller Opfer. In den Mails fordern sie die Empfänger auf, für die Verifizierung der im Konto hinterlegten Telefonnummer einen QR-Code zu scannen oder einen „Zugangslink“ zu öffnen. Dieser führt zu gefälschten Websites von Finanzdienstleistern, auf denen das Bank-Login erfragt wird.
https://www.netzwoche.ch/news/2024-06-13/betrueger-phishen-mit-gefaelschten-twint-mails
Betrüger geben sich als Twint aus und zocken Nutzer ab
Eine neue Betrugsmasche macht die Runde: Betrüger geben sich als Twint-Support aus und kontaktieren Nutzer über Whatsapp. Der Zahlungsanbieter warnt, niemals Accountdaten über Whatsapp zu teilen.
https://www.netzwoche.ch/news/2024-08-27/betrueger-geben-sich-als-twint-aus-und-zocken-nutzer-ab
Nicht gerade vertrauenserweckend wenn der Blog von Franz Neumeier der sich mit Sicherheit und Warnung beschäftigt noch ohne https daherkommt und in vielen Browsern einfach erstmal geblockt wird. Man sollte meinen das in 2024 schon jeder seine Homepage umgestellt hat.
„Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit.“
Das verkackt es der Scamer nochmal auf den letzten Meter. Das würde die Bank so nicht formulieren.
https://www.polizei-praevention.de/aktuelles/gefaelschter-steuerbescheid-per-briefpost.html