Display More
Wenn ich E-Mails von Banken bekomme, gehe ich in der Regel davon aus, dass es Spam oder Phishing ist. Kaum eine Bank vertraut in Bezug auf die Kommunikation mit Kunden noch auf E-Mails, wenn man nicht direkten Mail-Kontakt zu einem bestimmten Mitarbeiter hat.
Meistens klicke ich mich dann durch die Phishing-Mails durch, um zu sehen, was die Betrüger so treiben und ob man als Laie sehen kann, dass es sich um Phishing handelt. Und leider muss ich sagen: die Blödmänner und -frauen, die mit dieser Technik Leute übers Ohr hauen wollen, werden immer besser in ihrem „Business“.
Betreff: S-PushTAN App Registrierung läuft bald ab
Die Mail, die ich vermeintlich von der Sparkasse erhalten habe, hat folgenden Wortlaut:
Hinweis: Ihre S-PushTAN App-Registrierung läuft bald ab
Sehr geehrter Kunde,
Aus unseren Kundenunterlagen geht hervor, dass Ihre S-PushTAN App-Registrierung bald abläuft. Aus Sicherheitsgründen müssen Sie ihre S-pushTAN-verbindung regelmäßig aktualisieren. Nach der Aktualisierung können Sie wieder problemlos und sicher ihre TANs empfangen. Ihr S-PushTAN App wird nach dem 01.03.2021 gesperrt und Sie müssen den Registrierungsvorgang erneut durchführen.
Wie erneuere ich meine S-PushTAN App-Registrierung?
Erneuern Sie Ihre S-PushTAN App sofort, indem Sie den QR-Code rechts mit der Kamera Ihres Smartphones scannen. Gehen Sie dann die Schritte durch und schließen Sie die Registrierung ab.
[QR Code]
Wir vertrauen darauf, dass wir Sie ausreichend informiert haben.
Mit freundlichen Grüßen
Ihre Sparkasse
Das klingt erstmal fast so, als könne es von der Sparkasse kommen. Auch der QR-Code ist ja durchaus ein probates Mittel, um Menschen es einfach zu machen, komplexe URLs aufzurufen. Aus diesem Grund würde ich erstmal als Laie keinen Verdacht schöpfen.
Natürlich ist diese Mail nicht von der Sparkasse gekommen, sondern wurde von Betrügern verschickt, die gerne an die Sparkassen Zugangsdaten kommen würden.
Warum ein QR-Code?
Die erste Frage, die ich mir gestellt habe: Warum finde ich hier einen QR-Code und nicht einfach einen Link zum Anklicken?
Ganz einfach: Der QR-Code wird von Virenscannern und von Mailprovidern nicht aufgelöst und so wissen diese nicht, dass sich dahinter eine Internetadresse einer „bösartigen“ Webseite verbirgt. Selbst, wenn die Webseite auf die Blacklist kommt, wird nicht erkannt, dass sie in der Mail vorkommt, da es keinen Link im Klartext gibt.
Der zweite gute Grund dürfte sein, dass man durch das Scannen des QR-Codes sehr genau sagen kann, dass die Mehrheit der Leute die Seite mit einem Smartphone aufrufen wird.
Als Angreifer kann man sich also darauf einschießen, dass man es mit hoher Wahrscheinlichkeit mit einem iPhone oder einem Android-Gerät zu tun haben wird. Und ich nehme stark an, dass die Sparkasse-Phishing-Seite auf Android-Nutzer abzielt, da ein Aufruf mit meinem iPhone 12 Pro Max nur ein Ladesymbol hervorgebracht hat. Installieren wollte sich da nichts.
- Mehr lesen: QR Codes mit dem Mac erstellen
- Mehr lesen: Formatierung kopieren: Textformat übernehmen in Word und Pages
- Mehr lesen: droppy.ch – 5 GB Daten ohne Registrierung kostenlos verschicken
E-Mail-Adresse, Schreibfehler und Rechtschreibung als Indizien für Phishing-Mail
Und obwohl mir gleich klar war, dass eine Mail an meine öffentliche info@-E-Mail-Adresse sicherlich von keiner echten Bank kommt, war die Erläuterung in der Mail, warum ich nun den QR-Code scannen sollte, doch überzeugend gemacht. Einzig zwei Schreibfehler sind mir aufgefallen:
- „ihre“ wird bei der Ansprache mit großen „I“ geschrieben
- „S-pushTAN-verbindung“ wird natürlich mit großem „V“ geschrieben
Das ist schon nicht mehr so einfach als Phishing-Mail zu erkennen, wie die Mails, die man vor Jahren erhalten hat, bei denen noch alle deutschen Umlaute im Eimer waren.
Ein weiteres deutliches Merkmal ist die Absender-E-Mail-Adresse, die man mit Apple Mail sehen kann, wenn man die Mail-Adresse anklickt. Hier ist keine E-Mail-Adresse mit @sparkasse.de zu finden, was wiederum als Indiz dafür zu sehen ist, dass hier jemand anderes der Urheber ist.
Die hinterlegte Mail-Adresse kann natürlich auf jede beliebige Mail verstellt werden, aber die Phisher haben sich keine Mühe gegeben und keine mit der Endung @sparkasse.de verwendet.
Zielseite lässt nur die Eingabe der PLZ zu
Ruft man nun die Seite auf, die sich hinter dem QR-Code verbirgt (ihr solltet es nicht machen!), dann landet man bei einer Webseite, die die echte Sparkassenseite recht gut nachahmt. Allerdings kann man nur eine PLZ eingeben und sonst nichts auf der Webseite anklicken. Das sollte einen schon stutzig machen.
Um zu sehen, was die Betrüger gemacht haben, damit die Besucher keine Links anklicken können, habe ich mir mal den Quellcode angeschaut und hier gezielt die Links rausgesucht, die rechtlich verpflichtend sind: Impressum und Datenschutz.
Im Quellcode sieht man, dass die Links zwar als Link angelegt sind, aber nur den Linktext und keine Ziel-URL enthalten. So sehen sie aus, wie ein Link, aber können nicht angeklickt werden. Damit sparen sich die Betrüger die Arbeit, die komplette Webseite mit Unterseiten nachzubauen.
WIchtige Links wie Impressum, Datenschutz etc sind nicht aufrufbar, da sie technisch so verändert wurden, dass sie kein hinterlegtes Ziel haben.
Sparkasse-Phishing-Mail erkannt?
Ich hoffe, meine kleine Anleitung zum Erkennen der Sparkasse-Phishing-Mail hilft euch, auch andere „böse“ Mails zu entlarven. Es gibt ein paar Punkte, auf die man achten muss und dann findet man fast bei jeder dieser Mails den „Schwachpunkt“, der sie von einer seriösen Mail unterscheidet.
[Blocked Image: https://vg04.met.vgwort.de/na/…493d041c5afee4c2ca56737c4]
Quelle: https://www.sir-apfelot.de/ach…-pushtan-unterwegs-33608/