Schlagwort-Archive: Sparkasse

Phishing: E-Mail-Konten der Password-Fischer

Sparkassen Phishing
Gefälschte Seite der Sparkasse
Zur Zeit gehen wieder vermehrt Phishing-Mails für die Sparkasse bei mir ein. Dabei ist es mir geglückt an eine Installationsdatei für die Phishing Seiten zu gelangen. Aus dieser Datei ergibt sich, dass die Kriminellen zur Zeit folgende E-Mail-Adressen verwenden, an die sie die abgegriffenen Kontodaten schicken:

  • sunnycoolblooded@gmail.com
  • arisvanrobchams@outlook.com

Leider geschieht das Versenden der E-Mails vom Server, so dass man lokal nichts dagegen tun kann. Hier ist auch Vorsicht geboten., denn die Seite wird von allen Virenscannern bei Virustotal als „Clean Site“ gemeldet.

Ich wünsche noch frohe Ostern.

PS: Hier noch der Klartext der E-Mails – etwas seltsam formatiert:

-Sehr geehrter Kunde,

-wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto in Kurze abläuft. Um dieses weiterhin nützen zu können, bitten wir Sie Ihre Daten bei folgendem Link zu bestätigen:

-Sparkasse Online-Konto aktualisieren: klicken Sie hier

-Anschließend wir Ihr Online-Konto automatisch wiederhergestellt und Sie werden von einem unserer Mitarbeiter kontaktiert.

-Beim Online-Banking haben Sie per Klick alles im Griff.

-Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Bequem können Sie Überweisungen und Daueraufträge per Mausklick erledigen.

-DIE VORTEILE AUF EINEM BLICK:

,,..Kontozugang rund um die Uhr
,,..Schneller Zugriff aufs Girokonto
,,..Online-Banking bequem vom Handy oder PC aus
,,..Flexibel in jedem Winkel der Welt
,,..Kombinierbar mit Telefon-Banking

-Wir freuen uns sehr Sie weiterhin als unseren Online Konto Kunden begrüßen zu dürfen!

-Mit freundlichen Grüßen,
-Ihr Sparkasse Kundenservice.

Phishing Seiten über Google suchen

Sparkasse Phishing mit Login -eite
Sparkasse Phishing mit Login -eite
Eine gutes Hilfsmittel um Phishing-Seiten zu finden, ist Google. Man muss nur die richtigen Kriterien für eine Suche finden. Heute war ich nach einigen „händischen“ Versuchen mit folgende Suche sehr erfolgreich:

„Index of“ +“Parent directory“ inurl:Online-Banking-Konto
  1. casamentodicas.com.br
  2. cephastanesi.org
  3. corprewards.bluebox.co.za
  4. cristoradio.org
  5. dicasdeloterias.com.br
  6. hayleymclean.com
  7. mercadaodostambores.com.br
  8. mockdemos.customerdemourl.com (Hier findet sich die Phishing-Seite gleich in vier Verzeichnissen!)
  9. www.ag2arquitetura.com.br
  10. www.ariostosantos.com.br
  11. www.maianviajes.com.ar
  12. www.maianviajes.com
  13. www.thedentalhouse.ae
  14. www.ziyaz.com

Die Unterverzeichnisse habe ich entfernt. Die Software ist jeweils tief in Unterverzeichnissen, die mit „../Sichern/Sie/Ihre/Online-Banking-Konto/sparkasse.de/“ enden, verborgen.

Obwohl teiweise schon sehr lange Online funktionieren bis auf drei Seiten alle noch. Bei zwei Seiten war die Software entfernt, bei der dritten war der Server so konfiguriert, dass sie nicht funktionierte.

Vor keiner Seite wurde ich durch Safe-Browsing gewarnt.

Drum merke: Verlasse Dich nie auf Deine Sicherheitssoftware.

Gute Nacht

Update 16.03.2015: Heute fehlten einige Seiten, die gestern noch gefunden wurden, in den Suchergebnissen; dafür gab es zwei neue Seiten.

  1. stuckeys.com.au
  2. tanweer-fic.com

Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

Pishing: Sparkasse Online-Banking – Kundendienstes-Sicherheits-update

Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.

Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.

Update: 27. Juni 2014
Für die ausgefallene Seite gibt es nun einen Ersatz unter: skk-54278bf4a28221d672.yolasite.com, aber auch diese ist nicht mehr verfügbar.

skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com.
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176

Pishing: Sparkasse – vorbeugende Maßnahme – neuer Versuch

Screen Shot der E-Mail
Screen Shot der E-Mail

Gestern kam ein ganzer Schwung Pishing Mails mit dem Betreff „Grüße“ herein. Diese Mails sind Grotten schlecht im Vergleich zum Versuch vor ein paar Tagen. Absender und Empfänger sind gleich; weder ist der Absender von der Sparkasse, noch der Empfänger meine Adresse. Sprich: Ich bin in Blindkopie adressiert (bcc:). Ein Reply-To konntet ihr Jungs und Mädels allerdings auf confirm@sparkasse.de setzten; es geht doch – nutzt aber nichts. Der Betreff „Grüße“ ist eine ganz besonderer geistige Leistung. So etwas macht keine Sparkasse. Mal könnt ihr Umlaute und mal nicht; spielt aber keine Rolle, denn euer Deutsch ist schlechter als eine Übersetzung mit Google Translate.

Der Link auf die gefaked Seite (toomuchrawfish.com/misctravel/www.sparkasse-chemnitz.de/login.html) ist ziemlich schlecht getarnt und der Account zu der Seite toomuchrawfish.com (zu viel roher Fisch) ist bereits suspendiert worden. Roher Fisch ist ein Risiko und für exponierte Gruppen wie Schwangere, Kinder, Immunsupprimierte und ältere Menschen abzulehnen.[1] Also, nicht essen. Möglicherweise schlägt er aufs Hirn.

Klar, jeder kann sich Bot-Netze und alles nötige in diesem schmutzigen Geschäft kaufen. Aber ein wenig mehr Können um eine überzeugende Pishing Mail zu gestalten gehört schon dazu. Ich hoffe, dies war ein verzweifelter erster und letzter Versuch, auf den niemand hereingefallen ist.

Gute Nacht.


Subject: Grüße
To: Recipients <info@billionairesstore.com>
From: „SPARKASSE E-BANKING“ <info@billionairesstore.com>
Date: Mon, 08 Jul 2013 22:07:59 -0400
Reply-To: confirm@sparkasse.de
Sehr geehrter Kunde,

Als vorbeugende Maßnahme alle unsere Kunden sind erforderlich, um Bankkonto zu aktualisieren. Bitte durch diesen Link gehen, um die Aktualisierung selbst zu tun.

SparkasseBank sicherzustellen, dass System-Verifikation sorgen jeden Monat, um bessere Dienstleistungen für unsere Kunden valable bereitzustellen.

Nach dem Update wird sie einer unserer Mitarbeiter kontaktieren, um den gesamten Prozess zu vervollstandigen. Wenn der Vorgang abgeschlos
werden Sie wie gewohnt, ihr online-Banking mit der Sparkasse verwenden können.

Wir wollen Ihnen im Voraus für Ihre Mitarbeit danken.

SPARKASSECHEMNITZBANK
Mit freundlichen Grüßen,
Sparkasse.

  1. [1]Siehe derStandart.at: Roher Fisch ist ein Risiko vom 14. Juni 2010, 16:54