Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „MTAN“

Aus aktuellem Anlass: mTAN-Phishing

Dienstag, 23. Juni 2015

Ein aktueller Hinweis auf einen Artikel bei Heise Online – ich selbst habe die Spam noch nicht gesehen und kann mir gut vorstellen, dass es sich um eine personalisierte¹, „gut“ gemachte Spam handelt, die vor allem Kunden zu Gesicht bekommen:

mTAN-Trojaner hat es erneut auf Android-Nutzer abgesehen

Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren

Das ist mal etwas deutlich anderes als „Bestätigen sie ihre Information weil… ähm… wissen schon, wegen der Sicherheit“ und der Aufforderung, einer „Bank“ auf einer obskuren Website alles noch einmal zu sagen, was die Bank schon längst weiß.

Ich kann mir kaum vorstellen, dass diese Form des Phishings erfolgreich sein könnte, aber wenn ich nur etwas länger drüber nachdenke, gilt das für beinahe jeden Betrug, den ich jeden Tag zu Gesicht bekomme. Leider fällt immer wieder jemand darauf herein.

Deshalb noch einmal ganz klar für jeden Menschen zum Mitschreiben, Merken und Mitteilen: Wenn ihre Bank sie in einer E-Mail dazu auffordert, eine App für ihr Smartphone oder Tablet aus einer unbekannten Quelle zu installieren, rufen sie sofort den Kundendienst ihrer Bank an und fragen sie so deutlich und genervt wie nur irgend möglich, was die Technik-Spezialexperten bei ihrer Bank geraucht haben, um diese Idee zu entwickeln! Vielleicht bekommen sie ja etwas von diesem tollen Kraut ab… ;)

Etwas weniger flappsig gesagt: Wenn sie wirklich Kunde bei einer Bank sind, die allen Ernstes von ihnen einfordert [!], dass sie aus Sicherheitsgründen [!!] Apps für Smartphone und Tablet aus unbekannter Quelle [!!!] installieren, um „Online-Banking“ betreiben zu können [!!!!], dann wechseln sie sofort fristlos die Bank und stellen sie ihrer jetzigen Bank sämtliche ihnen dabei entstehenden Kosten in Rechnung² und überlegen sich schon einmal in aller Ruhe eine Schadenersatzforderung für den sonstigen ihnen entstehenden Aufwand! Es handelte sich bei einem solchen Schritt nur um eine Maßnahme zum Selbstschutz vor den Folgen der Organisierten Kriminalität im Internet. Die Bank, bei der sie Kunde sind, setzte ihre Sicherheit nämlich grob fahrlässig aufs Spiel, und sie hätte damit jede Vertrauensgrundlage für irgendein Vertragsverhältnis zerstört.

Ich hoffe aber, dass kein wirkliches Kreditinstitut jemals auf eine dermaßen dämliche, solches Phishing geradezu mit dem Megafon herbeirufende und den Kriminellen offen zuarbeitende Idee käme. Und deshalb sind sie vermutlich gut beraten, solche Spam einfach unbesehen zu löschen, genau so, wie auch die anderen Phishing-Spams.

Ich muss allerdings eingestehen, dass die meisten Banken noch nicht einmal dazu bereit sind, ihre E-Mail digital zu signieren, so dass die Kunden überhaupt erst die Möglichkeit hätten, den Absender und den unveränderten Inhalt einer E-Mail „der Bank“ zu überprüfen. Und das, obwohl diese defensive Maßnahme, die jedes Phishing erschwerte, im Betrieb keinen Cent Geld kostete, in der technischen Einrichtung aus der Portokasse bezahlbar wäre und die gesamte dafür erforderliche Technik kostenlos und frei zur Verfügung stünde. Von daher würde mich auch eine weitergehende, grob fahrlässige Dämlichkeit bei einigen Banken nicht überraschen. Vielleicht sollten sie das ihrer Bank auch mal deutlich mitteilen. Damit es besser wird. Damit es weniger Arbeit für die Kriminalpolizei gibt. Damit es weniger Geldwäsche über fremde Konten gibt. Damit es weniger Betrug gibt. Damit weniger Opfer der Internet-Kriminalität ihre Geschichte bei der Polizei oder gar vor einem Untersuchungsrichter erklären müssen, weil sie als Kontoinhaber ins Visier der Ermittler geraten sind. Für die Bank kostenlos. Für alle anderen Menschen – ja, fast jeder kann vom Betrug betroffen sein – eine Verbesserung des Lebens.

Auf diesem trüben Hintergrund würde es mich nicht wundern, wenn diese interessante (und für mich neue) Form des Phishings darauf zurückginge, dass einige Banken ihren Kunden sehr ähnliche Zumutungen aufbürdeten.

¹Nach den diversen Datenlecks der letzten Jahre haben die Verbrecher sehr viel Material, um sehr gezieltes Phishing zu machen, wenn sie wollen.

²Dies versteht sich als lebenspraktischer Ratschlag, der dem „gesunden Menschenverstand“ folgt, nicht als juristische Beratung.

PayPal – Sicherheitsüberprüfung

Mittwoch, 27. Februar 2013

Achtung! Diese Mail kommt nicht von PayPal! Es handelt sich um einen Phishing-Versuch von Kriminellen.

Das nenne ich mal ein gutes Design für eine Phishing-Spam!

*Sehr geehrter Kunde,* um Ihr Kundenkonto noch mehr Sicherheit zu gewähren, haben wir das M-Tan Verfahren eingeführt. Dieses Verfahren ist aus dem Onlinebanking bekannt und zählt zu einem der schnellsten und sichersten. Sobald Sie eine Zahlung tätigen, bekommen Sie eine PIN auf Ihr Handy, um die Zahlung zu verifizieren. Falls Sie noch keine Handynummer für das M-Tan Verfahren hinterlegt haben, können Sie dies hier tun. Nach einer kurzen Überprüfung Ihrer Daten, steht das Verfahren sofort für Sie bereit. Wir benachrichtigen Sie umgehend per E-Mail, wenn das M-Tan Verfahren aktiv ist. Mit freundlichen Grüßen Ihr PayPal Kundenservice

Das gute Design kann allerdings kaum über inhaltliche Schwächen hinwegtäuschen:

Dass es keine Mail von PayPal ist, zeigt sich nicht nur an der eigenwilligen Formulierung „um Ihr Kundenkonto noch mehr Sicherheit zu gewähren“, sondern auch an der unpersönlichen Anrede. Der Link geht dann auch nicht etwa auf die deutschsprachige PayPal-Webseite, sondern auf die fragwürdige Domain kunden37 (punkt) secure (strich) paypal (punkt) de, die natürlich nichts mit PayPal zu tun hat. Jeder kann sich eine Domain registrieren, auch eine, die den Namen einer beliebigen Firma als Namensbestandteil enthält – und Verbrecher machen das gern.

Auf der richtigen Website von PayPal könnte man hingegen alles nachlesen, um sicher zu erkennen, dass es sich hier um Phishing handelt:

Phishing (zusammengesetzt aus den Begriffen password und fishing, also das „Fischen“ nach Passwörtern) funktioniert nach dem immer gleichen Prinzip: Internet-Nutzer bekommen eine E-Mail oder einen Link in einer E-Mail zugeschickt, der nach einer offiziellen Mitteilung eines bekannten Unternehmens aussieht und meist sogar mit originalen Logos und Internet-Adressen versehen ist. Beim Klick auf diesen Link können Daten abgefangen werden.

Daran erkennen Sie echte PayPal-E-Mails

  • Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.
  • Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an.
  • Wir werden Sie in E-Mails nie auffordern, Ihre Kreditkartennummer oder Kontoverbindung, Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen, die PIN oder TAN Ihres Bankkontos direkt preiszugeben. Das geschieht ausschließlich in Ihrem PayPal-Konto.

Wenn Sie sich nicht sicher sind, ob Sie es mit einer Phishing-Mail oder einem seriösen Link zu tun haben, öffnen Sie ein neues Browser-Fenster. Gehen Sie auf www.PayPal.de und geben Sie auf dieser selbst aufgerufenen Seite Ihr Passwort ein. E-Mails, die auf eine Phishing-Mail hindeuten, können Sie an spoof@paypal.com weiterleiten. Danach sollten Sie die Mails aus dem E-Mail-Konto löschen.

Die Phishing-Site ist zum Glück mittlerweile vom Hoster aus dem Netz genommen worden, so dass ich nicht mehr abschließend nachvollziehen kann, wie die Betrugsnummer hier läuft.

Aber ich habe folgenden Verdacht:

  1. Es wird auf einer „liebevoll“ nachgemachten PayPal-Seite die Eingabe der PayPal-Anmeldedaten gefordert – frei nach dem Motto „Melden sie sich an“
  2. Diese Anmeldedaten gehen an die Verbrecher, die damit vollständigen Zugriff auf das PayPal-Konto bekommen. Sie können betrügerische Geschäfte darüber abwickeln, Geld bewegen und das Geld auf das Konto eines Muli überweisen, der dann über Western Union, MoneyGram oder durch Bargeld-Übergabe weiterleitet.
  3. Die angegebene Handynummer wird nicht für irgendein MTAN-Verfahren eingetragen. Dies ist nur der Vorwand, der angebliche Grund für diese „Mitteilung von PayPal“.
  4. Es ist aber auch gut möglich, dass die so mitermittelte Handy-Nummer verbrecherisch benutzt wird, dass also „alarmierende“ SMS-Nachrichten oder gar Anrufe „von PayPal“ kommen, um darüber eine zusätzliche Betrugsnummer durchzuführen. Wenn das der Fall ist, weiß ich nicht, wie hier vorgegangen wird. Möglichkeiten gibt es einige, bis hin zur telefonischen Abfrage von weiteren Daten (Kreditkarte, Bankkonto) unter ausgelöstem Stress.

Es ist also nur das „gewöhnliche“ Phishing – mit einer Unsicherheit, ob die Telefonnummer für weitere Betrügereien verwendet wird. Die persönlich genutzte Telefonnummer ist generell ein Datum, das man nur sehr sparsam an andere weitergeben sollte, auch wenn sich in letzter Zeit eine bedenkliche Tendenz feststellen lässt, dass sie in allen möglichen Kontexten (zum Beispiel für die Nutzung von Google-Diensten) ohne sachlichen Grund dreist und unter der Behauptung zusätzlicher „Sicherheit“ eingefordert wird. Ein Telefonanruf geht wesentlich intensiver in die private Spähre hinein, als das eine E-Mail jemals könnte, und gewerbsmäßige Betrüger wissen ebenso wie windige Kaufleute, wie in solchen Situationen jener Stress ausgelöst werden kann, der zur Unvernunft führt.

Im Falle dieser Mail gilt einmal mehr: Wer niemals in eine Mail klickt und die Adresse von Websites wie PayPal, eBay oder seiner Bank immer direkt in die Adresszeile seines Browsers eingibt, kann auf das Phishing über Mail kaum hereinfallen.

Deshalb: Niemals in eine Mail klicken!

Danke für die Zusendung dieser aktuellen Phishing-Spam an S. K.