Mit einer lächerlich fehlerhaften E-Mail versuchen Betrüger, Kunden der Bundesbank dazu zu bringen, eine Trojaner-App auf ihrem Handy zu installieren. GIGA erklärt, was hinter der Aktion steckt und worauf ihr bei solchen Nachrichten achten müsst.

 
Phishing: Was ist das?
Facts 

Zumindest ist dieser Phishing-Versuch technisch nicht ganz dämlich. Wenn man diese E-Mail in einem Desktop-Browser öffnet und den darin enthaltenen Link verfolgt, dann werden nur verschiedene, ganz normale Webseiten angesprungen. Erst beim Öffnen mit einem Handy wird die Betrugsseite angezeigt.

Was bedeutet Phishing? Abonniere uns
auf YouTube

Vorsicht – gefälschte Bundesbank-App!

  • Mit dieser Phishing-Mail soll Bundesbank-Kunden ein Banking-Trojaner untergejubelt werden.
  • Gefährdet sind nur Android-Nutzer, da nur sie selbst entscheiden können, eine beliebige App zu installieren.
  • Der Link in der E-Mail bringt euch zu einer gefälschten Login-Seite der Bundesbank, in der ihr beliebige Daten eingeben könnt, um schließlich auf einer offiziell aussehenden Download-Seite für einen App-Download landet.
  • Dort könnt ihr eine Android-App-Datei namens „DeutscheBank.apk“ downloaden, die von gängigen Virenscannern als Banking-Trojaner erkannt wird.

Es handelt sich um eine Malware namens „Vultur“, die nach der Installation nahezu unmöglich zu erkennen und zu entfernen ist. Sie ist bekannt dafür, Banking-Daten abzugreifen und sie an die kriminellen Verbreiter des Trojaners zu senden, die dann Zugriff auf euer Konto bekommen.

Nur wenn ihr euer Android-Handy so eingestellt habt, dass es Apps aus fremden Quellen installieren darf, kann der Trojaner in euer Gerät eindringen! Wie das geht, wird auf der Fake-Seite erklärt. Dieser Anleitung solltet ihr natürlich auf keinen Fall folgen.

Wie erkennt ihr das Bundesbank-Phishing?

  • Der schlechte Betrug fängt schon mit dem Absender an. Dafür werden private E-Mail-Adressen wie etwa „DeutscheBankKundenservice@www.luxauto.pl“ verwendet.
  • In der E-Mail wird versucht, Druck aufzubauen, indem mit Kontoschließung oder Strafgebühren gedroht wird.
  • Der E-Mail-Text strotzt nur so vor Rechtschreibfehlern:

Sehr geehrter Kunde,

wir haben in den letzten Wochen unsere Sicherheits Standarts erhöht und unser System hat festgestellt das Sie bisher noch nicht unsere neue Sicherheits-App auf ihrem Mobilem Endgerät installiert habe. Zur Sicherheit mussten wir Ihr Konto eingeschränken, um die beschränkung wieder aufzuheben ist die Installation unsere neuen App zwingend erforderlich. Bitte holen Sie die Installation schnellstmöglich nach, mit Abschluss der Installation wird die Beschränkung Ihres Konto wieder aufgehoben und Sie können wie gewohnt alle Funktionen ihres Konto Nutzen. Beachten Sie bitte das dieser Vorgang binnen 14 Tagen durchgeführt werden muss, ansonsten werden Bearbeitungsgebühren in Höhe von 49,95€ fällig zwecks manueller Bearbeitung.

Weiter

Wir bitten Sie die Unannehmlichkeiten zu entschuldigen und bitten um Ihr vollstes Verständnis.

Mit freundlichen Grüßen

Ihre Deutsche Bank

  • Der Link in der E-Mail führt nicht zu einer Bundesbank-Seite, sondern zu Adressen wie „http://taobotw.ftlbox.com“.
  • Dort bekommt ihr ein primitives Login zu sehen. Das leitet dann zu einer Download-Seite weiter, deren Adresse auf den ersten Blick wie eine Information der Deutschen Bank erscheint: http://meine.deutsche-bank.de.id18bc71vgdbv1v7uvda79dv17v7e181fvd71.xyz. Der Anfang ist nicht die echte Domain. Die heißt in diesem Fall nämlich „id18bc71vgdbv1v7uvda79dv17v7e181fvd71.xyz“ und liegt in der Ukraine.

Dass die Domain nicht stimmt, ist aber in einem Handybrowser nicht zu sehen. Und ruft man die Adresse in einem Computer-Browser auf, wird sie zur Suchmaschine Bing umgeleitet.

Wie soll man sich verhalten, wenn man die App installiert hat?

Der Trojaner „Vultur“ versteckt sich sehr gut vor einer Entdeckung und ist nur schwer zu entfernen, weil er die Deinstallationsseite immer wieder verbirgt, indem er zur Übersicht zurückspringt. Da auch das App-Icon versteckt wird, könnt ihr zur Deinstallation nicht einmal darauf tippen.

Diese Schritte solltet ihr unternehmen, wenn ihr den Banking-Trojaner auf eurem Gerät installiert habt:

  1. Nehmt zuallererst Kontakt zu eurer Bank auf, schildert ihr den Fall auf und lasst das Konto sperren!
  2. Versetzt euer Handy in den Flugmodus.
  3. Sucht in „Einstellungen → Apps“ nach der App und versucht eine Deinstallation.
  4. Wenn das nicht möglich ist, müsst ihr euer Handy zurücksetzen.

Anschließend müsst ihr es komplett neu einrichten sowie alle Zugänge und nötigen Apps neu installieren. Außerdem solltet ihr euch dann mit eurer Bank in Verbindung setzen und klären, ob und welcher Schaden entstanden ist. Dann müsst ihr mit der Bank die nötigen Schritte unternehmen, um wieder Zugriff auf euer Konto zu bekommen.

Online-Sicherheit und Privatsphäre: Wichtig oder nicht? (Umfrage)

Du willst keine News rund um Technik, Games und Popkultur mehr verpassen? Keine aktuellen Tests und Guides? Dann folge uns auf Facebook (GIGA Tech, GIGA Games) oder Twitter (GIGA Tech, GIGA Games).