Chase Account Update Phishing Mails

Heute ist Safer Internet Day (SID) 2012. Dazu kamen gleich vier Phishing Mails aus der selben Quelle an die selben Adresse. Vier Versuche an einem Tag mich rein zu legen, finde ich etwas übertrieben. Wenn ich den Trick einmal durchschaue, werde ich ihn auch bei weiteren Versuchen durchschauen. Wer gleich vier Aufforderungen erhält, sollte misstrauisch werden. Ob da jemand geübt hat? SpamAssassin ordnet den Mails einen SPAM Level ~ 25 zu. Leute, bitte etwas mehr anstrengen. So kommt ihr nie durch einen Spam-Filter.

Komisch, dass ich kein Konto bei der Bank habe. Dass alle Empfängeradressen undisclosed-recipients sind, sollte jedem Empfänger zu denken geben. Die Mails enthalten einen Anhang ChaseOnline-Verification-Form.htm (siehe Screenshot) der mich auffordert, meine Kontaktdaten zu bestätigen. Eine Leerstelle in den Links verification pagechase.com bewirkt, dass einige Grafiken nicht geladen werden können. Allerdings sind die Grafiken eher unbedeutend. Eine fehlende JavaScript Bibliothek (default.js) von sellthink.com könnte entscheidender sein, aber die gibt es nicht (mehr?).

Das Formular wird an einen Server aicomgroupofcompany.com – IP: 69.167.177.160 – geschickt. Eine WHOIS-Abfrage offenbart, dass die Domain seit 31. Oktober 2011 auf eine Aicom Group, in Lagos, Nigeria registriert ist. Der Server hört auch auf den Namen gbenga.web4africa.net. Das aufgerufene PHP-Script reagiert zur Zeit nicht. Entfernt oder überlastet? Normalerweise leitet es den Aufruf zur Chase Bank weiter.

Hinweis: Bei Auskunftsanfragen per Mail im Internet ist immer Vorsicht geboten. Meine Banken haben mich noch nie Online für Auskünfte kontaktiert. Um Online Daten zu ändern muss der Nutzer sich in der Regel erst anmelden und kommt dann zu einem Formular. Das Zuschicken eine Formulars als Anhang ist nicht gebräuchlich.

Genug für heute.

Die Chase Bank hat auch ein paar Beispiele zu betrügerische E-Mail Beispiele online gestellt.