Ich staune regelmäßig darüber, das offensichtlich sehr viele Menschen glauben, Internetseiten seien automatisch authentisch, nur weil die Inhalte von einer Bank stammen oder weil die Verbindungen verschlüsselt sind.sven222-mechanic-pirate

Das ist nun mal nicht so, die Inhalte werden von einem Computerprogramm, dem Browser, angezeigt. Und was der Browser anzeigt, kann auch einfach manipuliert werden. Ist der Browser einmal „gehackt“, ist nichts darin mehr sicher.

Ich zeige das mal an einem kleinen Beispiel, löse damit ein „Problem“, das mich schon länger ärgert und demonstriere damit, was ich meine.

Unser Rechenzentrum kriegt es seit Jahren nicht hin, geschlechtsneutrale Bezeichnungen in den (Online-)Formularen und im Internet zu verwenden. Nun, dem kann einfach abgeholfen werden.

Ich möchte z.B. im Postkorb nicht mehr „Absender“ stehen haben, weil mir durchaus auch Kolleginnen Nachrichten zusenden.

postkorb_absender

Ich besorge mir ein geeignetes Plugin für den Browser Firefox: FoxReplace und installiere es.

addon_page

Die Bedienung ist kinderleicht, ich trage die URL ein, also die Adresse unseres Onlinebankings und erstelle eine Tabelle der zu ersetzenden Wörter.

fox_replace

Theoretisch könnte ich nicht nur die Textausgabe verändern, sondern sogar die Eingabe. Also z.B. aus  10,00 Euro 1000,00 Euro machen.

Voila, nach einem Neustart der Seite ist aus männlichen „Absender“ das gewünschte „AbsenderIn“ geworden. Ich könnte natürlich auch „Absender /-in“ wählen, das wäre mir zu lästig oder „gesendet von“. kontonhaberin_ersetzt

Natürlich lässt sich damit viel Schabernack treiben, aber ich denke, das Fazit des alten Credos ist klar geworden:

Trau, schau, wem!

Also: Prüfe, wem du glauben kannst! Der Browser gehört nicht dazu – im Zweifelsfall, bevor ein Vertrag eingegangen wird, bevor Geld überwiesen wird oder Kreditkartendaten geprüft werden, muss man 100%ig sichergehen, dass die Informationsbasis wirklich stimmt. Nur weil es im Web steht, ist es nicht automatisch wahr.

Konkret zum Onlinebanking:
Wenn der Browser zum einem Test auffordert: Das stammt nicht von der Bank! Diese Aufforderung stammt mit Sicherheit von einer Betrugssoftware! So eine kann monatelang im Hintergrund auf dem Rechner inaktiv schlummer, bevor sie aktiv wird. Es gibt viele Programme, die auch der aktuellste Virenscanner nicht entdeckt!

Ergänzung 18.10.2016: Skype-Erweiterung ändert Inhalte und stört Funktionen im Onlinebanking.

 

Die Betrugsmail ist in beinahe perfektem Deutsch geschrieben, enthält das typische VR-Logo und ist doch ein Betrugsversuch. Der Link verweist glücklicherweise auf auf eine Seite, die nicht mehr existiert, aber dies kann sich ja schnell ändern.

Man beachte die Anrede. der Absender lautet info@volksbank.de

Wichtig: neue Sicherheits-Software Update

Sehr geehrter Herr Sichmann,

uns bei der Volksbank liegt die Sicherheit und Integrität unserer Konten sehr am Herzen.

Leider wurde diese Sicherheit in den letzten Wochen stark gefährdet. Viele unserer Kunden sind Opfer von Cyberkriminellen und Hackern geworden.

Um dieses Problem so schnell und effizient wie möglich zu beseitigen, haben wir eine
neue Sicherheits-Software entwickelt, die unseren Online-Konten mehr
Sicherheit gibt und unsere Kunden vor solchen Übergriffen beim Online-Banking schützt.
Gerade arbeiten wir daran, diese Software auf den Online-Konten aller Kunden zu installieren.

Bitte klicken Sie zur Verifizierung auf folgenden [link entfernt und Wort Link fehlt]

Wir bedanken uns für Ihre Mitarbeit

Mit freundlichen
Grüßen,

Ihr Volksbank-Kundenservice


Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.V. (BVR)
Schellingstraße 4
10785 Berlin
©Volksbanken und Raiffeisenbanken 1998-2014. Alle Rechte vorbehalten

Wirtschaftsaufschwung?
Nein, in der Phishing-Wirtschaft sind mal wieder die Geldwäscher knapp geworden…
Bitte vergleichen Sie selbst.

  • Vakanz! Vakanz! Vakanz!

    Ein gutes Einkommen in kürzer Zeit!

    Ihr Gehalt beträgt von 1000.00 EUR bis 2000.00 EUR pro Woche. Die Beschäftigung erfordert nur mehrere Stunden Ihrer Zeit 8 Tage monatlich. Wir widersprechen nicht, wenn Sie diese Arbeit mit Ihrer anderen Arbeit vereinigen! Für die Ausführung von jedem Auftrag können Sie bis 1600
    EUR verdienen.
  • Hier ist das, was Sie bei dieser Arbeit machen sollen:

    1. Vor allem überweisen wir das Geld auf Ihr Konto in einer Bank. Die Summe kann von 2000.00 EUR bis 8000.00 EUR variieren.
    2. Am Tag des Geldeingangs auf dem Bankkonto von Ihnen, heben Sie das Geld in bar ab.
    3. Sie bekommen 20% von dem auf Ihrem Konto eingetroffenen Geldbetrag – das ist die Summe von 400.00 EUR bis 1600.00 EUR!
    4. Es ist erforderlich, unserem Unternehmen den Rest zu schicken.
    5. Falls Sie alles termingerecht erledigt haben, übermitteln wir Ihnen den nächsten Geldbetrag.
  • Sie können eine jegliche Anzahl der Banküberweisungen bekommen, alles hängt nur von Ihrem Wunsch und Ihren Möglichkeiten ab! Diese Arbeit ist völlig legal und stößt gegen keine Gesetze der EU und Deutschlands.

    Um in unserem Unternehmen Geld zu verdienen, antworten Sie
    mir per Email an folgende Email-Adresse: de@fid-gruppe.net.
    Bitte nicht vergessen, dass Sie Ihre Antwort nur an die von mir oben erwähnte Email-Adresse senden müssen.

    Beeilen Sie sich, die Anzahl von den Arbeitsstellen ist begrenzt!

  • Für die Löschung Ihrer Email-Adresse aus unserer Verteilerliste schicken Sie eine leere Nachricht auf die Email-Adresse [gelöscht]

  • Es werden verantwortungsbewusste Mitarbeiter gesucht!

    Hoher Nebenverdienst in kürzer Zeit!

    Wir garantieren ein gutes Einkommen – bis zu 2000.00 EUR pro Woche. Das ist die Möglichkeit, zwei Stunden 8 Tage monatlich zu arbeiten. Sie können die Arbeit mit einer anderen Arbeit vereinigen! Für die Ausführung von jedem Auftrag wird Ihr Gehalt Minimum 400 EUR für jeden
    erfüllten Auftrag betragen.
  • So wird alles erfolgen:

    1. In erster Linie übersenden wir das Geld an Ihre Bank. Die Summe der Banküberweisung beträgt von 2000.00 EUR bis 8000.00 EUR.
    2. Am Tag, wo das Geld auf Ihr Bankkonto, gutgeschrieben wurde, heben Sie bares Geld in der Bankfiliale ab.
    3. Sie haben schon 20% von unserer Geldanweisung erhalten- das ist die Summe von 400.00 EUR bis 1600.00 EUR!
    4. Sie übermitteln unserer Firma die restliche Summe.
    5. Unsere Organisation übermittelt die nächste Überweisung an Ihre Bank.
  • Wir vereinbaren mit Ihnen im Voraus die Summe der Überweisungen und die Anzahl der Banküberweisungen, die Ihnen überwiesen werden! Die Arbeit bei uns ist legitim.

    Sie können mir an folgende Email-Adresse: job@dib-gruppe.net schreiben. Ich beantworte alle Ihre Fragen und schicke Ihnen
    eine ausführliche Beschreibung der Arbeit.
    Bitte schicken Sie Ihre Bewerbung nicht an die Email-Adresse, sondern an die Email-Adresse, die ich oben geschrieben habe.

    Beeilen Sie sich, die Anzahl von den Stellenangeboten ist begrenzt!

  • Wenn diese Angebote bez. der Arbeit irrigerweise von Ihnen erhalten wurde, schicken Sie eine leere Nachricht auf die Email-Adresse [gelöscht]. Wir löschen Ihre Mail-Adresse unverzüglich aus der Datenbank.

  • Eine sehr gute offene Stelle!

    Hoher Nebenverdienst in kürzer Zeit!

    Diese Nebenarbeit lässt Sie bis zu 8000.00 EUR pro Monat verdienen. Das ist die Möglichkeit, zwei Stunden Ihrer Zeit 1-2 Mal pro Woche zu arbeiten. Sie können gleichzeitig in unserem Unternehmen und in einer anderen Firma arbeiten! Für die Erledigung von jedem Auftrag werden Sie bis 1600 EUR verdienen.
  • Unsere Zusammenarbeit wird so aussehen:

    1. Unser Manager vereinbart es mit Ihnen, ob Sie an einem konkreten Tag arbeiten können. Danach wird unser Unternehmen eine Banküberweisung mit dem Betrag bis zu 8000.00 EUR auf Ihr Konto in einer Bank schicken.
    2. Sobald der Geldbetrag auf das Bankkonto von Ihnen, gutgeschrieben wurde, heben Sie bares Geld ab.
    3. Sie nehmen sich 20% von unserer Überweisung – das ist die Summe von 400.00 EUR bis 1600.00 EUR!
    4. 80% der Summe geben Sie unserer Firma.
    5. Wenn Sie für die Zusammenarbeit mit uns bereit sind, führen wir die nächste Transaktion auf Ihr Konto durch.
  • Die Summen der Banktransaktionen und Ihre Anzahl können sich voneinander unterscheiden, alles hängt nur von Ihrem Wunsch ab! Die Zusammenarbeit mit unserem Unternehmen ist völlig legal für Banken und durchsichtig vom Standpunkt der Gesetze der EU und Deutschlands.Um mit uns Geld zu verdienen, senden Sie mir eine Email an
    folgende Email-Adresse: nebeneinkommen@sps-gruppe.net.
    Bitte schreiben Sie nicht an die Email-Adresse, von der Sie die Email bekommen haben, schicken Sie nur eine neue Email an die Email-Adresse, die ich oben genannt habe.

    Die Anzahl von den Stellenangeboten ist begrenzt!

  • Um keine neuen Meldungen mehr zu bekommen, schicken Sie eine leere Nachricht auf die Email-Adresse [gelöscht]

Die neuen Top-Level-Domains, kurz TLD, eröffnen auch für Betrüger neue attraktive Möglichkeiten. TLDs sind die Endungen, die wir im Internet täglich verwenden: .de, .com .org kennt man ja. Die neuen sind beispielsweise .berlin oder wie in diesem Beispiel .click.

Man muss also weiterhin bei Clickaufforderungen, den Mails und im Web ganz genau hinsehen.

Hier eine geschickt aufgebaute Paypal-Phishing-Mail, die selbst einen alten Hasen schon erstmal richtig erschrecken kann. (Vielen Dank an Uwe G. für die Mail!).

paypal-phishing_click_01

Der Klicklink ist geschickt mit einer falschen Angabe hinterlegt, Achtung: Das angezeigte schwarze Kästchen (Alt-Attribut) ist nicht der Link – das ist nur ein Text-Hinweis und kann beliebig manipuliert sein. Man kann aber am unteren Bildrand sehen, wohin der Link wirklich führt. (ich verwende  Thunderbird als Mailprogramm).

Die eigentliche Domäne ist hier: „de-password.click“ und www.paypal ist nur eine Subdomäne. Vollständig ist der Betrugslink also selbst in Klarschrift nicht sofort zu erkennen.

paypal-phishing_click_02

 

 

 

 

 

 

 

 

 

 

 

 

 

Unter Spear-Phishing versteht man gezielte Angriffe auf Passworte und Daten mithilfe von ausgespähten Daten. Betrüger versuchen sich dabei die Informationen zunutze zu machen, die sie über andere Wege oder Medien erhalten haben. Einige geben sich sogar gezielt als Bekannte, Freunde oder Verwandte aus. Oft reichen hier schon allgemein zugängliche Informationen aus den sozialen Netzwerken oder dem Impressum einer Webseite aus, um das Misstrauen entscheidend zu schmälern.

Selten geht es beim initialen Kontaktversuch konkret darum, „mit der Brechstange“ ans Geld zu kommen, es wird eher auf subtile Art versucht, das Vertrauen zu gewinnen. Appeliert wird oft an die Hilfsbereitschaft der Empfänger. Die Betrüger sparen sich damit auch einiges an Arbeit – nur die Leichtgläubigen werden anschließend „weiter bearbeitet“, zum Teil sogar telefonisch.

Es muss sich dabei keinesfalls um Mails handeln, hier aber ein Beispiel einer Mail, die ich kürzlich erhalten habe. Offensichtlich waren meine Daten  im Adressbuch seines Mailprogramms. In solchen Fällen sollte man den vermeintlichen Absender wirklich kontaktieren, weil oft ein Trojanerangriff dahinter steckt und sogar die Absendeadresse gehackt wurde oder auf falschem Namen eine Mailadresse angelegt wurde.

Hallo Raimund.

lch bin nach Spanien verreist und habe meine Tasche verloren samt Reispass und kreditkarte. Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen. lch muss nur noch für mein ticket und die hotelrechnungen zahlen. Leider habe lch kein Geld dabei, meine kredit karte könnte helfen aber die ist auch in der Tasche. lch habe schon kontakt mit meiner Bank aufgenommen, aber sie brauchen mehr zeit, um mir eine neue zu schicken. lch wollte dlch fragen ob du mir 1.500EUR via western union so schnell wie mögllch leilhen kannst. Ich gebe es dir zurück sobald ich da bin.

Herzliche Grüße

[Name gelöscht]Beispiel für Spear Phishing

Der Text ist in Details uralt und offensichtlich immer noch erfolgreich. Man sieht dies, wenn man Teile davon einmal durch eine Suchmaschine recherchiert, z.B.: „Die botschaft ist bereit, mlch ohne meinen Pass fliegen zu lassen“: google-Suchergebnisse:

 

Jau, Thank you, Kundendienst!

Sehr geehrter Kunde,

Nach einigen verdächtigen Transaktionen, hat Ihre Karte aus Sicherheitsgründen gesperrt worden.
Um wieder Zugriff zu erhalten, müssen Sie Ihre Informationen zu aktualisieren.
Bitte laden Sie das Dokument in einer E-Mail-Anhang, und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren, wird Ihre Karte vorübergehend gesperrt werden.

Thank you, Kundendienst.

© 1994-2014 MasterCard. All rights reserved.Mastercard Phishing

Uiui,
jetzt werden schon die Banken beim Phishing vermischt. Macht ja nichts, merkt ja keiner.
Hier wird das Logo „EuroExpresszahlung“ von der Sparkasse für eine Volksbank Phishing-Mail missbraucht. Mich würde hier die Statistik des Webservers der Sparkasse interessieren. Wie oft wird das Bild wohl heruntergeladen?

Ich verlinke das Bild absichtlich nicht. Wer unbedingt das Logo sehen möchte, muss den Link in die Browseradresse kopieren.
https://portal.sska.de/ifdata/72050000/IPSTANDARD/3/content/www/pixel/gv_hinweise/express_ohne_hinweis.jpg

Schnell überweisen in Deutschland und Europa Mit der EURO-Expresszahlung online ist Ihr Auftrag schneller beim Empfänger als mit einer normalen Überweisung – sowohl in Deutschland als auch in Europa. Der Preis einer EURO-Expresszahlung online beträgt 10,00 Euro. —————————————————————————-

27. November 2014 um 04:21:51 Uhr

Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
Zahlungsbestätigung – 552479999799.

Betrugsmail Volksbank

Die Zahlungsbestätigung verweist im Link, einer Zip-Datei, natürlich auf einen gehackten Server.

Ber „Den Volksbank“? Naja, da hat der automatische Übersetzer google-Translate wohl nicht bemüht…

 

Ja, wer möchte da nicht Gebühren sparen?

Guten Tag, Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus Sicherheitsgründen bestätigt werden müssen.

Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und folgen Sie den Anweisungen oder wie folgt ausführen:

1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf „Daten absenden“!
3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

Für weitere Fragen steht unser Online Support unter direkt@sparkasse.de 24Std. für Sie zur Verfügung.

Mit freundlichen Grüßen Ihre Sparkasse Sparkassen-Finanzportal GmbH
Telefon: 01805 – 32 33 00
(0,14 Euro/Min. aus dem deutschen Festnetz; Mobilfunk max. 0,42 Euro/Min.)
Fax: 030 – 24 63 67-01Datenabgleich/Aktualisierung Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!

Der Anhang ist eine html-Datei, als solche noch  recht harmlos, bedient sich schamlos beim Webcontent der Sparkasse Leipzig. Die Formulare verweisen dann aber bei den Feld-Eingaben auf eine gehackte Webseite, bei der die Daten dann schlussendlich weiterverarbeitet werden.

Ich frag mich ja immer, was die Betrüger mit den Daten machen wollen – außer anrufen? Und tatsächlich gibt es diese Versuche seit längerem.

Mir ist rätselhaft: Wer gibt seine Daten zum Abgleich ein, Daten, die meine Bank sowieso schon haben müsste? Und wie kann man am Telefon eine Überweisungs-TAN weitergeben – denn das ist ja schließlich das Ziel der Betrüger. Eine TAN, die eindeutig mit eine Buchung verbunden ist?

Gibt es denn immer noch Menschen, die nicht verstehen, dass eine Internetseite einfach nachgebaut werden kann? Menschen, die aber einen html-Mailanhang öffnen können, können doch nicht ganz unbedarft und naiv sein, oder?

So sieht eine frische Anwerbemail von heute morgen aus:

Fuhrende Gesselschaft im internationalen Brief- und Paketversand sucht die Handelsagenten. Unsere Besteller weltweit profitieren von MultiLogistik Paket- und Briefversand.

Wir suchen Mitarbeiter die mit Ubersicht und Eigenverantwortung alle geforderten Arbeiten in der Gesellschaft verrichtet, hochst zuverlassig, unermudlich und konzentriert ist.

Sie brauchen nur ein paar Stunden pro Woche, ausreichende Kenntnisse der Microsoft-Office-Produkten, starke organisatorische Fahigkeiten um die Arbeit priorisieren,gute Sprechfahigkeiten, um Ihre Pflichten nachzukommen.

Pflichten:
– Losung entstandener Probleme, Vorlage der notigen Information an Kunden
– Vorlage an den Manager der taglichen Berichte zu den laufenden Operationen
– Bearbeitung und Versand der Waren
– Uberprufung beim Empfang und Versand der Guter
– Ausfullung der Faktura-Rechnung, Zollunterlagen und weiterer Dokumente

Wenn Sie weitere Fragen haben schicken Sie einen E-mail an uns: [Mailadresse gelöscht]

Einmal kam diese Mail  mit dem Betreff „Jobangebot.“, mit „Jobmessen.“ (was ist das?) und mit „Beschaftigungsmoglichkeit.„, sowie „Neue Beschaftigung finden.“ Interessant: drei Mails waren mit unterschiedlichen Absendedaten hinterlegt, aber die Mailadressen waren jeweils beim gleichen Provider emailn.de. Womöglich ist die Anmeldung dort aktuell besonders einfach, weil Deutsch sicherlich nicht die Muttersprache der Absender ist?

Die Mail erschreckt mich ja nun nicht wirklich, wie jeder sich denken kann. Aber was wird denn mit dem Text transportiert? Eine Html-Datei ist ja nun wirklich soo gefährlich nicht, sollte man meinen.

Hier ersteinmal der Inhalt der Mail für Interessierte:

Sehr geehrter Kunde,

Wir haben unregelmäßige Aktivität Ihrer Konto erkannt. Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung. Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten. Wenn Sie diese E-Mail ignorieren Ihre Konto wird gesperrt.

Bitte verwenden Sie die Website auf dem Laufenden bleiben. Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven einzuführen. Vielen Dank, Kundendienst. Urheberrecht ING DIBA. Alle Rechte vorbehalten. Mailttext ING-Phishing Mail

 

Der Inhalt des Anhangs ist beinahe komplett von der ING-Diba geklaut, nur der Diebstahl der Kontodaten ist in den Code eingefügt worden. Die Daten werden an eine mail.php einer Seite ihracattuyolari(dot)com in wp-includes/images/wlw/x/mail.php eingebracht.

Gibt man diesen Suchtext mal in google ein, dann kommen ziemlich interessante Ergebnisse, wie ich finde, denn offensichtlich sind auch Volksbanken betroffen: https://www.google.de

Die Ganoven sind also schon seit 2013 mit der gleichen Masche unterwegs und senden die erspähten Daten an gehackte WordPress-Seiten. Offensichtlich lohnt es sich immer noch, trotz des grottenschlechten Übersetzung, auf stinknormales Phishing zu setzen. Traurig, dass darauf noch Menschen hereinfallen.