Unser Kollege Peter Hryciuk musste sofort stutzen, als er eine E-Mail der Sparkasse Bad-Pyrmont erhielt – dort hat er sein Konto nämlich gar nicht. Sonst wäre er möglicherweise darauf hereingefallen, denn dieser Phishing-Angriff ist wirklich fast perfekt… aber nur fast.

 
Phishing: Was ist das? Angriffe erkennen und abwehren
Facts 
Phishing: Was ist das? Angriffe erkennen und abwehren
Mehr zu Phishing: Was ist das? Angriffe erkennen und abwehren:News, Tipps, Specials
Inhaltsverzeichnis
  1. 1.Wie funktioniert die Sparkassen-Falle?
  2. 2.Wichtige Verhaltensregeln bei ALLEN Bank-E-Mails
  3. 3.Das müsst ihr tun, wenn es euch erwischt

Versuche wie dieses Sparkassen-Phishing gab es schon einige. Meist hat man sie bereits an den Schreibfehlern in der E-Mail erkannt. Die gibt es dieses Mal zwar auch, aber vermutlich fallen sie den meisten nicht sofort auf und so landen sie in einer Falle, die von vermutlich deutschsprachigen Programmierern auf einem russischen Server aufgestellt wurde.

Wie funktioniert die Sparkassen-Falle?

  • Zuerst erhaltet ihr eine E-Mail mit einem Anhang.
  • Der Betreff lautet „Secure+ 00100 9171997“.
  • Bereits beim Absender wird es seltsam. In diesem Fall lautet er nämlich „support@ssk-bad-pyrmont.de <noreply.central@beapi.fr>“. Eine in den meisten Fällen nicht passende Sparkassen-Filiale hat also eine E-Mail von einem französischen Mail-Konto gesendet? Dieses Beispiel zeigt, dass man sich solche Nachrichten immer genau ansehen sollte.
  • Der Text der Nachricht ist – bis auf kleine Fehler – nicht auffällig. Abgesehen von der Tatsache, dass der Empfänger nicht mit seinem Namen angesprochen wird.
Bildschirmfoto der gefälschten E-Mail
Bildquelle: GIGA
  • Dort heißt es dann „Bitte folgen Sie der beigefügten Datei, um die Aktualisierung vorzunehmen.“ Die „Datei“ in diesem holprigen Satz befindet sich im Anhang. Es handelt sich um eine HTML-Datei, deren Inhalt kodiert ist und auf die Domain „sparka-kontogeheimnis.com“ umleitet.
  • Diese Seite liegt auf einem Server in Russland, der Besitzer wird durch einen russischen Anonymisierungsdienst verschleiert und das Routing führt über chinesische Nameserver.
  • Der Quellcode dieser Seite enthält Hinweise darauf, dass er von einem deutschen Programmierer geschrieben wurde. So tragen etwa HTML-Klassen die Bezeichnung „anmelde-kreisel“.
  • Als erstes müsst ihr den Namen eurer Bank eingeben. Damit wissen sie Täter schon einmal, wo sie sich später mit euren Daten anmelden müssen! Außerdem bekommt ihr im Weiteren das passende Logo der Bank angezeigt.
  • Jetzt sollt ihr euren Anmeldenamen, eure PIN sowie eure Telefonnummer angeben.
Screenshot einer gefälschten Sparkassen-Anmeldeseite
Bildquelle: GIGA
  • Daraufhin erfolgt der gefährlichste Schritt! Im Hintergrund versucht diese Web-Seite nun, sich mit euren Daten bei eurer Bankfiliale anzumelden, während es für euch so aussieht, als würde lediglich eine Anmeldung geprüft.
  • Die Telefonnummer dient als weiteres Identifikationsmerkmal, mit dem die Verbrecher euer Konto übernehmen und leerräumen können.

Wichtige Verhaltensregeln bei ALLEN Bank-E-Mails

  1. In E-Mails eurer Sparkasse werdet ihr immer mit eurem korrekten Namen angesprochen. Dort steht weder „Sehr geehrte/r Kunde/in“ noch die Bezeichnung eures E-Mail-Kontos wie „schneewittchen85“.
  2. So wichtige Nachrichten findet ihr immer auch in eurem Online-Banking-Postfach. Falls sie dort nicht zu finden sind, handelt es sich um eine Fälschung. Seid ihr im Zweifel, kontaktiert eure Bank persönlich.
  3. Wenn Links oder E-Mail-Anhänge zu einer Web-Seite führen, dann sollte es sich bei dieser Domain entweder um „sparkasse.de“ oder um die Web-Seite eurer Bankfiliale handeln. Adressen wie „sparka-kontogeheimnis.com“ hören sich nicht nur falsch an, sie sind es!
  4. Versucht, ob ihr auf den angezeigten Web-Seiten irgendwelche anderen Links anklicken könnt. Wenn ihr bei „Hilfe“, „Impressum“ oder „AGB“ immer wieder auf derselben Seite landet, ist die Web-Seite nur eine Fassade.

Das müsst ihr tun, wenn es euch erwischt

Die Sparkasse unterrichtet auf einer Sicherheitsseite über aktuell bekannte Angriffe. Dort findet ihr auch die E-Mail-Adresse warnung@sparkasse.de, an die ihr solche E-Mails zur Prüfung weiterleiten könnt.

Falls ihr tatsächlich auf einer gefälschten Seite eure Zugangsdaten eingegeben habt, ruft sofort die Nummer 116 116 an, um euer Konto sperren zu lassen. Sobald es euch möglich ist, solltet ihr danach für weitere Schritte mit eurer Bank sprechen, die euch dann etwa einen neuen Online-Zugang geben kann.

GIGA empfiehlt
Weitere interessante Artikel

Online-Sicherheit und Privatsphäre: Wichtig oder nicht? (Umfrage)

Du willst keine News rund um Technik, Games und Popkultur mehr verpassen? Keine aktuellen Tests und Guides? Dann folge uns auf Facebook oder Twitter.