Phishing: E-Mail-Konten der Password-Fischer

Sparkassen Phishing
Gefälschte Seite der Sparkasse
Zur Zeit gehen wieder vermehrt Phishing-Mails für die Sparkasse bei mir ein. Dabei ist es mir geglückt an eine Installationsdatei für die Phishing Seiten zu gelangen. Aus dieser Datei ergibt sich, dass die Kriminellen zur Zeit folgende E-Mail-Adressen verwenden, an die sie die abgegriffenen Kontodaten schicken:

  • sunnycoolblooded@gmail.com
  • arisvanrobchams@outlook.com

Leider geschieht das Versenden der E-Mails vom Server, so dass man lokal nichts dagegen tun kann. Hier ist auch Vorsicht geboten., denn die Seite wird von allen Virenscannern bei Virustotal als „Clean Site“ gemeldet.

Ich wünsche noch frohe Ostern.

PS: Hier noch der Klartext der E-Mails – etwas seltsam formatiert:

-Sehr geehrter Kunde,

-wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto in Kurze abläuft. Um dieses weiterhin nützen zu können, bitten wir Sie Ihre Daten bei folgendem Link zu bestätigen:

-Sparkasse Online-Konto aktualisieren: klicken Sie hier

-Anschließend wir Ihr Online-Konto automatisch wiederhergestellt und Sie werden von einem unserer Mitarbeiter kontaktiert.

-Beim Online-Banking haben Sie per Klick alles im Griff.

-Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Bequem können Sie Überweisungen und Daueraufträge per Mausklick erledigen.

-DIE VORTEILE AUF EINEM BLICK:

,,..Kontozugang rund um die Uhr
,,..Schneller Zugriff aufs Girokonto
,,..Online-Banking bequem vom Handy oder PC aus
,,..Flexibel in jedem Winkel der Welt
,,..Kombinierbar mit Telefon-Banking

-Wir freuen uns sehr Sie weiterhin als unseren Online Konto Kunden begrüßen zu dürfen!

-Mit freundlichen Grüßen,
-Ihr Sparkasse Kundenservice.

Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

Pishing: Sparkasse Online-Banking – Kundendienstes-Sicherheits-update

Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.

Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.

Update: 27. Juni 2014
Für die ausgefallene Seite gibt es nun einen Ersatz unter: skk-54278bf4a28221d672.yolasite.com, aber auch diese ist nicht mehr verfügbar.

skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com.
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176

SPAM: SEPA Umstellung

SEPA-Umstellung

Warnung Betrug
Derzeit erfreut sich die SEPA Umstellung erheblicher Beliebtheit bei den Kriminellen. Nach und nach werden alle Banken und Firmen abgeklappert, die mir nie eine Mail schicken, um die Trojaner an den Mann oder die Frau zu bringen. Heute war die Sparkasse dran. Die Mail ist nicht mal gut gemacht. Der Link im Text-Teil ist verweist nicht auf den Trojaner. Man beachte auch den „-“ statt des „.“ hinter „www“.

Text: wwwsparkasse.de/kundenservise/sepa.abteilung
HTML: http://arabeskfm.net/www.sparkasse.de/sepa-umstellung.htm

Kameraden: Im HTML-Message-Body hätte Ihr im Link wwwsparkasse.de ruhig in www.sparkasse.de umwandeln können.

Übrigens: Die Domain www-sparkasse.de gibt es wirklich, nur hat sie keine IP-Adresse und ist auf von der Finanz Informatik GmbH & Co. KG registriert.

Die SEPA-Umstellung geht von ganz alleine. Sie müssen nichts tun. Insbesondere nicht dubiosen Links in noch dubioseren Mails folgen.

Pishing: Sparkasse – vorbeugende Maßnahme – neuer Versuch

Screen Shot der E-Mail
Screen Shot der E-Mail

Gestern kam ein ganzer Schwung Pishing Mails mit dem Betreff „Grüße“ herein. Diese Mails sind Grotten schlecht im Vergleich zum Versuch vor ein paar Tagen. Absender und Empfänger sind gleich; weder ist der Absender von der Sparkasse, noch der Empfänger meine Adresse. Sprich: Ich bin in Blindkopie adressiert (bcc:). Ein Reply-To konntet ihr Jungs und Mädels allerdings auf confirm@sparkasse.de setzten; es geht doch – nutzt aber nichts. Der Betreff „Grüße“ ist eine ganz besonderer geistige Leistung. So etwas macht keine Sparkasse. Mal könnt ihr Umlaute und mal nicht; spielt aber keine Rolle, denn euer Deutsch ist schlechter als eine Übersetzung mit Google Translate.

Der Link auf die gefaked Seite (toomuchrawfish.com/misctravel/www.sparkasse-chemnitz.de/login.html) ist ziemlich schlecht getarnt und der Account zu der Seite toomuchrawfish.com (zu viel roher Fisch) ist bereits suspendiert worden. Roher Fisch ist ein Risiko und für exponierte Gruppen wie Schwangere, Kinder, Immunsupprimierte und ältere Menschen abzulehnen.[1] Also, nicht essen. Möglicherweise schlägt er aufs Hirn.

Klar, jeder kann sich Bot-Netze und alles nötige in diesem schmutzigen Geschäft kaufen. Aber ein wenig mehr Können um eine überzeugende Pishing Mail zu gestalten gehört schon dazu. Ich hoffe, dies war ein verzweifelter erster und letzter Versuch, auf den niemand hereingefallen ist.

Gute Nacht.


Subject: Grüße
To: Recipients <info@billionairesstore.com>
From: „SPARKASSE E-BANKING“ <info@billionairesstore.com>
Date: Mon, 08 Jul 2013 22:07:59 -0400
Reply-To: confirm@sparkasse.de
Sehr geehrter Kunde,

Als vorbeugende Maßnahme alle unsere Kunden sind erforderlich, um Bankkonto zu aktualisieren. Bitte durch diesen Link gehen, um die Aktualisierung selbst zu tun.

SparkasseBank sicherzustellen, dass System-Verifikation sorgen jeden Monat, um bessere Dienstleistungen für unsere Kunden valable bereitzustellen.

Nach dem Update wird sie einer unserer Mitarbeiter kontaktieren, um den gesamten Prozess zu vervollstandigen. Wenn der Vorgang abgeschlos
werden Sie wie gewohnt, ihr online-Banking mit der Sparkasse verwenden können.

Wir wollen Ihnen im Voraus für Ihre Mitarbeit danken.

SPARKASSECHEMNITZBANK
Mit freundlichen Grüßen,
Sparkasse.

  1. [1]Siehe derStandart.at: Roher Fisch ist ein Risiko vom 14. Juni 2010, 16:54