Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Ihre Postbank – Wichtige Informationen fur Sie

Montag, 26. Dezember 2016, 13:53 Uhr

Nein, diese E-Mail kommt nicht von der Postbank. Es ist eine Spam. Sie kommt auch bei Menschen wie mir an, die gar nichts mit der Postbank zu tun haben. Sie wird auch an Honigtopf-Mailadressen gesendet.

Von: Postbank-Center <storm2 (at) bsvst (punkt) ru>

Wenn der Spammer schon eine Absenderadresse fälscht, dann könnte ja auch eine nehmen, die so aussieht, als hätte sie etwas mit der Postbank zu tun.

Datum: 26. Dezember 2016, 07:29 Uhr

Typische Postbank-Arbeitszeiten eben! :mrgreen:

Die eigentliche Mail ist ohne Text; sie besteht in ähnlicher Weise wie die kürzliche Phishing-Kampagne der angeblichen „Deutschen Bankengemeinschaft“ nur aus drei Grafiken. Wer eine gute Mailsoftware in ihren Standardeinstellungen benutzt, sieht gar nichts. Leider tun viele Menschen das nicht, und die sehen den folgenden Überrumpelungsversuch:

Screenshot der Spam -- Postbank -- Sehr geehrter Postbank Kunde, -- Die Sicherheit unserer Kunden steht für uns an erster Stelle. Aus diesem Grund entwickeln wir unsere Sicherheitsstandards stetig weiter. Wir bitten Sie daher, ihr Konto für unsere neuste Digital Zertifizierte Bankingapp freizuschalten. Sie profitieren anschließend von Vorteilen wie dem digitalen Unterzeichnen von Aufträgen oder dem Freigeben von eingehenden Zahlungen. Schützen Sie Ihr Konto gegen unberechtigten Zugriff und sichern Sie sich vor Bedrohungen aus dem Internet ab. Befolgen Sie die nächsten Schritte bitte aufmerksam. Dieser Vorgang nimmt nur wenige Minuten in Anspruch. -- Buttonartige Grafik: Zum nächsten Schritt -- Durch das Herunterladen und Installieren bringen Sie ihr Smartphone auf den neusten Stand. Wir danken für Ihr Verständnis -- Mit freundlichen Grüßen, Ihr Postbank Kundenservice

Der Link auf der Grafik „Zum nächsten Schritt“ führt dann auch nicht in die Website der Postbank, sondern in die Website einer obskuren Subdomain von 92nshffh4 (punkt) ru. Das sieht man übrigens vorm Klicken, wenn man in die Statuszeile seiner Mailsoftware schaut – niemand muss sich also der Gefahr aussetzen, sich dort auch noch Schadsoftware einzufangen. Doch selbst, wenn einem der Blick auf die Statuszeile zuviel Mühe ist, lässt sich diese E-Mail beim Lesen leicht als Sondermüll erkennen.

  1. Die unpersönliche Anrede „Sehr geehrter Postbank Kunde“ (mit Deppen Leer Zeichen) würde in einer echten E-Mail der Postbank nicht verwendet werden.
  2. Normalerweise wird sich eine Mitteilung an einen Bankkunden auf ein bestimmtes Konto beziehen (wenn es keine Reklame der Bank ist). Dieses Konto wird immer genannt werden. Es ist nicht so selten, dass ein Mensch mehrere Konten unterhält. Spammer wissen die Kontonummer in der Regel nicht.
  3. Technische Wartungsarbeiten wie „ihr Konto für unsere neuste [!] Digital Zertifizierte Bankingapp freizuschalten“ gehören weder in den Aufgabenbereich noch in den Möglichkeitsbereich eines Bankkunden; so etwas wird von der Bank erledigt, ohne dass die Kunden überhaupt etwas davon mitbekommen.
  4. Worin liegt der vom Spammer angepriesene Vorteil beim „digitalen Unterzeichnen von Aufträgen“? Aufträge konnten auch vorher rechtssicher erteilt werden, und dies führte zu keinerlei Problemen bei der Abwicklung.
  5. Worin liegt der vom Spammer angepriesene Vorteil beim „Freigeben von eingehenden Zahlungen“? Ist es so typisch für Postbank-Kunden, dass sie sagen: „Nee, diese Buchung mit meinem Weihnachtsgeld, die will ich nicht“?
  6. Das Konto vor unberechtigtem Zugriff zu schützen ist Aufgabe der Bank. Wenn sie diese Aufgabe nicht erfüllen kann, sollte man ihr kein Geld und keinerlei andere Dinge von Wert anvertrauen.
  7. „Wir danken für Ihr Verständnis“ ist eine leserverachtende, pseudohöfliche, arrogant-widerliche Formel zur unterschwelligen Beschimpfung von Menschen, die wohl meist kein Verständnis haben werden. So etwas würde der echten Postbank hoffenlich niemals rausflutschen. Wer auch nur eine Spur Respekt vor seinen Kunden hätte, würde natürlich um Verständnis bitten, statt sich für das nicht vorhandene Verständnis zu bedanken.

So viel nur zu diesen wenigen Worten.

Die in der Spam verlinkte Website ist inzwischen zum Glück nicht mehr erreichbar – offenbar wollte der Hoster nicht zum Komplizen der Verbrecher werden und hat den Stecker gezogen. Es ist davon auszugehen, dass morgen schon die nächste Fuhre Spam mit dann wieder funktionierenden Links ausgeliefert wird. Auf der verlinkten Website eingegebene Daten gehen direkt an die Organisierte Kriminalität, und eine von der verlinkten Website heruntergeladene App für das Smartphone wird das reinste Schadsoftware-Gift sein und aus dem Smartphone ein Smartphone anderer Leute machen. (Ein eventuell laufendes Antivirus-Programm auf dem Smartphone wird vermutlich nicht davor schützen.)

Der beste, wichtigste und wirksamste Schutz vor Phishing und derartigen Überrumpelungen besteht nach wie vor darin, niemals in eine derartige E-Mail zu klicken, und zwar völlig unabhängig davon, wie „echt“ sie aussieht. Einfach die Website der Bank aufrufen und sich dort ganz normal anmelden – wenn wirklich ein Problem vorliegt, das Handeln erfordert, wird das dort ebenfalls unübersehbar angezeigt werden.

Diese leider immer noch erschreckend erfolgreiche Form der Spam funktioniert nur, wenn dem Empfänger ein Link untergeschoben werden kann. Und das geht nur, wenn der Empfänger in die Mail klickt. Deshalb: Immer daran denken, dass E-Mail gefährlich ist, dass der Absender gefälscht sein kann und dass das typische Design einer Bank oder eines Unternehmens leicht imitiert werden kann¹. Niemals in eine E-Mail einer Bank oder eines anderen Unternehmens klicken, mit dem man Geschäfte macht! Immer die Website direkt im Browser aufrufen! Diese ebenso einfache wie wirksame Vorsichtsmaßnahme kann einem sehr viel Geld und Ärger ersparen…

¹Jedes aufgeweckte Kind kann E-Mail-Absender fälschen, genau so, wie jeder Mensch jeden beliebigen Absender auf einen Brief schreiben könnte, der mit der Sackpost versendet wird. Und die Übernahme grafischer Elemente aus einer „corporate identity“ ist von banaler Einfachheit, wie man sehr „schön“ an diesem Postbank-Beispiel gesehen hat. Natürlich könnten Banken endlich damit beginnen, kryptografisch signierte E-Mail zu versenden und unter ihren Kunden für die Überprüfung dieser Signaturen zu werben, um den Phishing-Sumpf ein für allemal auszutrocknen, aber das ist nicht erwünscht. An etwas anderem als den (mutmaßlich politischen) Wünschen kann es nicht scheitern. Es würde im täglichen Prozess kein Geld kosten, wäre in der Programmierung eher unaufwändig und hätte keine damit verbundenen Nachteile. Banken und große Unternehmen, die sich auch im Jahr 2016 noch verweigern, E-Mail kryptografisch zu signieren, sind Helfershelfer der Organisierten Kriminalität und sollten das auch immer wieder einmal von ihren Kunden mitgeteilt bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert