Aktuell sind sehr viele Scam- und Phishing-Mails im Umlauf, in denen vorgetäuscht wird, dass sie von Banken, wie z. B. der Postbank, den Sparkassen, VR-Banken, der Commerzbank, der ApoBank, Barclays usw. stammen. Diese betrügerischen Mails sind Fälschungen, mit deren Hilfe ahnungslose Opfer zum Preisgeben von Konto- und Kreditkarten-Informationen, Passwörtern und Zahlungen bewegt werden sollen.
In einem vorangegangenen Beitrag habe ich explizit darauf hingewiesen, dass es äusserst sinnvoll ist, sich die Kopfzeilen von E-Mails im jeweils genutzten E-Mail-Programm (Thunderbird, Outlook, etc.) anzeigen zu lassen. Diesen Tipp möchte ich hier noch einmal untermauern!
Auf dem Desktop PC lässt sich die Anzeige von Kopfzeilen sehr leicht und schnell einrichten: Meist unter “Ansicht” -> “Alle Kopfzeilen anzeigen”. Auf dem Smartphone ist das ungleich schwieriger, denn nicht alle Apps bzw. Anbieter lassen das zu.
Erhältst du auf deinem Smartphone eine E-Mail von einer oder deiner Bank, solltest du sie sehr kritisch beäugen, sie nach Möglichkeit gar nicht erst öffnen und erst recht nicht auf die darin enthaltene Links klicken.
Schau dir lieber auf dem Desktop-PC die betreffenden E-Mails im einem reinen Text-Format an (aber nur, wenn es unbedingt sein muss!) und überprüfe die Absenderzeilen genau, ob sie echt und korrekt sind. Öffne eine Mail von deiner Bank nur, wenn du auch tatsächlich eine erwartest. Wenn du unsicher bist, ob eine Mail von deiner Bank echt ist, halte Rücksprache mit deiner Bank und frage explizit danach, ob dir diese E-Mail zugesandt wurde.
Scam-/Phishing-Mail, Beispiel Nr. 1 – Postbank BestSign
Betreff: © Bitte umgehend bearbeiten!
Ich werde in diesem Beispiel nicht näher auf die technischen Details eingehen, aber, so viel sei gesagt:
Wenn du diese E-Mail öffnest und auf einen der enthaltenen Buttons klickst, wirst du mit Hilfe von Google-APIs bis zum Abwinken getrackt. Im Source-Code der E-Mail werden alle Tracking-Methoden, die Google augenblicklich hergibt, genutzt.
Nach dem Öffnen der Mail wissen die Betrüger zum Beispiel, mit welchem E-Mail-Client, auf welchem Gerät und zu welchem Zeitpunkt du die Mail geöffnet hast. Sie wissen auch, dass deine E-Mail-Adresse aktiv ist, welche IP du hast, auf welchen Seiten du dich im Netz bewegst und welche Apps/Anwendungen du nutzt. Sie wissen ebenso, bei welchem Telekommunikationsanbieter du unter Vertrag stehst und welche Banking-App du nutzt.
Vom Aufbau ist diese Scam-Mail etwas tricky. Öffnest du die Mail, musst du schon ein ganzes Stück weit nach unten scrollen, um den unteren Teil der Mail zu sehen. Dabei handelt es sich um eine Zahlungsaufforderung zu deiner Bestellung bei alza.de über einen Betrag in Höhe von 5.851,99 EUR. alza.de ist ein B2B-Shop mit Sitz in Tschechien.
Klickt ein Opfer auf den oben in der E-Mail eingebauten Button “Jetzt aktivieren”, wird es dazu aufgefortert, sensible Daten zu hinterlassen und eine Zahlung zu leisten. Es soll seine BestSign-Authentifizierungs-App aktualisieren und natürlich sofort dafür “blechen”.
Im Anschluß daran erhält das Opfer einen Download-Link, der dann in Form von Malware zu einer bösen Überraschung führt. Dergestaltete Postbank-Mails werden meist an E-Mail-Adressen von Unternehmen gesendet, so dass nach einem Klick, der Zahlung und dem Download eine mehrstufige Ransomware-Attacke die Folge sein kann.
Auf welcher Seite landet das Opfer, nachdem es den Button betätigt hat?
Nach einigen Weiterleitungen, die unmittelbar und sofort ausgeführt werden, landet das Opfer in diesem Fall bzw. Beispiel auf https://postbanprive.nl/bestsign1.
Das Formular, die Zahlungsaufforderung und der Server sind inzwischen abgeschaltet. Das ist gut so, aber:
Betrüger dieses Kalibers ziehen mit ihren Betrugsmaschen von einen zum nächsten Server innerhalb von kürzester Zeit. Sie fallen dann weiterhin, meist in leicht abgeänderter Form, über ihre Opfer her.
Gefährdungsgrad: *** mittel bis sehr hoch *** (diese betrügerische Mail gibt es in unterschiedlichen Varianten)
Handlungsempfehlung: Nach Möglichkeit gar nicht erst öffnen und sofort löschen !!!
Im zweiten Teil dieses Beitrages (Fortsetzung) geht es weiter mit einer fiesen Scam-/Phishing-Mail von der ApoBank.
Ähnliche Beiträge zu diesem Thema:
Warum Unternehmen Opfer von Phishing-Angriffen werden und was sie dagegen tun können
Vorsicht! Bösartige Phishing-Mail, die angeblich von “Lufthansa Miles & More Kreditkarte” stammt