Zum Inhalt springen

Byggvir of Barley

Too much to write about everything!

  • Startseite
  • Wiki
  • Freifunk
  • WordPress
    • WordPress Plugin: Ev-Kirchenjahr / Liturgischer Kalender
    • WordPress Plugin: Losungen SQL
    • WordPress Plugin: Evangelische Termine
      • WordPress Plugin Evangelische Termine: Change log
      • WordPress Plugin: Evangelische Termine (Beispiele)
  • Lit. Kalender
  • Roulette
  • Kontakt
    • Impressum
    • Links
  • Datenschutz
Byggvir of Barley
Postbank Mobil TAN BetrugFake

SPAM: Achtung – Kontoprobleme (Postbank)

  • Account Allerts
  • Nepper
  • Postbank
  • SPAM
  • Trojaner
  • Viren, Würmer und anderes Getier
4. April 201410. April 2014 Thomas

[tawarning align=“right“] Mit nur einem Bild und einen Link in der E-Mail versuchen die Betrüger ihre Opfer über das Mobile TAN-Verfahren der Postbank zu melken. Grundsätzlich setzt dies voraus, dass die Empfänger externe Inhalte wie Bilder automatisch nachladen lassen, was keine sichere Einstellung des Mail-Clients ist. Automatisches Nachladen, so praktisch es auch ist, gehört auf den Schrotthaufen der unsicheren Funktionen.

In diesem Artikel will ich kurz beschreiben, wie es weitergeht, wenn man den Anweisungen der Betrüger folgt.

Postbank Mobil TAN BetrugFake
Postbank Mobil TAN BetrugFake

Das obige Bild ersetzt den Text in einer Mail. Ziel ist, nicht als Spam erkannt zu werden.

Mail Text

Zur Dokumentation führe ich den Text aus dem E-Mail-Bild hier an:

Sehr geehrter Postbankkunde,

Postbank hat von seinen Kunden mehrere Beschwerden über das MobileTAN System erhalten. Die Unzufriedenheit seiner Kunden ist daß die Mobile TAN nicht immer zur Zeit ankommt.

Postbank will das MobileTAN System verbessern und hat demnach den Zugang dazu blockiert um einen Test durchzuführen. All Kunden die ihr MobileTAN System freigeben möchten, müssen den von und vorgegebenen Schritten folgen. Um ihr MobileTAN System freizugeben loggen Sie sich bitte sobald wie möglich in ihr Konto ein.

Anmerkung: Erstellt mit gocr und manueller Korrektur; Zeilenumbruch von mir.

Der Link in der Mail führt durch mehrfache Umleitung – in einem Fall muss ich per Hand nachhelfen, da die letzte Weiterleitung nach http://infoauth.eauth.net/../pbmail4code/…/do.html stoppt – zu einer gefälschten Anmeldeseite der Postbank auf infoauth.eauth.net (nsc64.16.142-198.newsouth.net. IP 64.16.142.198), die aus einem iframe besteht, der durch ein php-Script erzeugt wird. Zwar habe ich kein Postbankkonto, aber ich versuche es trotzdem mit zufälligen Zahlen für ein Konto um zu sehen, wie dieser Phishing-Versuch weitergeht.

Weiterleitung per Meta-Tag

Wer den Link in der Mail aufruft, der wird mehrfach weitergeleitet. Mit dem folgenden (gekürzten) Meta-Tag bricht die Weiterleitungsfolge bei mir in Firefox kurz vor dem Ziel ab.

<meta HTTP-EQUIV=’REFRESH‘ content=’0; url=http://infoauth.eauth.net/…/pbmail4code/…/do.html‘>

Ich rufe die Seite auf indem ich die Adresse (url=http://infoauth.eauth.net/) markiere und in die Adresszeile des Browsers kopiere. Zu keiner Zeit werde ich von Firefox gewarnt, dass ich mich auf einer Phishing Seite befinde. Auch Virustotal findet keinen Fehl an der Seite. Gegen Versuche diese Seiten mit wget abzurufen scheinen die Betrüger Vorkehrungen getroffen zu haben. Vielleicht haben sie auch Vorkehrungen gegen die Prüfung durch Virenscanner im Netz getroffen. Wie einfach es ist, eine sichere Seite zu werden, hatte ich in einem früheren Artikel beschrieben. Aber so tief möchte ich nicht in die Details eindringen, deshalb nutze ich weiter den Firefox für die Untersuchungen.

Gefälschte Anmeldeseite

Die gefälschte Anmeldeseite ist kaum vom Original zu unterscheiden. Nur die Adresse in der Adresszeile passt nicht zur Postbank und eine gesicherte Verbindung wird auch nicht genutzt.

Gefälschte Anmeldeseite
Gefälschte Anmeldeseite

Im jeweils zweiten Versuch werden die meine Daten akzeptiert und ich lande auf der folgenden Seite, auf der ich nach einer E-Mail-Adresse gefragt werde.

E-Mail-Adressabfrage

Nun möchten die Betrüger noch eine E-Mail-Adresse von mir. Ich hätte als nächsten Schritt auf die Abfrage einer Mobilfunknummer gewettet, aber da habe ich gefehlt. Vielleicht kommt diese Abfrage im nächsten Schritt.

Abfrage der E-Mail-Adresse
Abfrage der E-Mail-Adresse zur Teilnahme am Test.

Nun auch diese Seite fülle ich mit einer E-Mail-Adresse aus, die ich als Honigtopf verwende. Die Eingabe endet leider entweder mit einem Fehler 404 oder durch Zeitüberschreitung, so dass die Frage wie es hier weiter geht unbeantwortet bleiben muss.

Fazit

Entweder waren meine Kontodaten nicht verwendbar oder der Betrug endet hier aus anderen Gründen. Wenn ich kein Sonderfall bin, der nicht funktioniert, dann war deise Welle harmlos.

Genug für heute

SchlagwörterBetrugKontoüberprüfungMobileTANmTANPishingPostbankSpam

Beitrags-Navigation

Vorheriger Beitrag

SPAM: Personalagentur auf der Suche nach Mitarbeitern.

Nächster Beitrag

Kultur im Himmeroder Hof 2014

April 2014
M D M D F S S
 123456
78910111213
14151617181920
21222324252627
282930  
« Mrz   Mai »

Schlagworte

37.143.52.7 Abmahnungen Abmahnwelle Abzocke Angriffe Arbeitsangebote Betrug Binary Code binary options Binäre Optionen Corona covid-19 E-Mail Finanzagenten Flache Erde flat earth Flat Earther Fotografie Fraud Geldwäsche Linux Martingale Moneyplex Nepper openSUSE PayPal Phishing Pishing Politik redtube Richpro Internet GmbH Roulette scam Spam SpamAssassin Timo Richert Trojaner trojan horse Trojanisches Pferd Versandmitarbeiter Wallstreet Trick Warenkreditbetrug Warenlieferungen Werbung WordPress

Neueste Kommentare

  • Suizide 2021 – Byggvir of Barley bei Übersterblichkeit – Excess Mortality – Teil 1
  • Übersterblichkeit – Excess Mortality – Teil 2 – Zeitreihen – Byggvir of Barley bei Übersterblichkeit – Excess Mortality – Teil 1
  • Peter Beyer bei Wichtige Mitteilung der HCC GmbH
  • Übersterblichkeit – Excess Mortality – Teil 1c – Byggvir of Barley bei Übersterblichkeit – Excess Mortality – Teil 1a
  • Übersterblichkeit – Excess Mortality – Teil 1c – Byggvir of Barley bei Übersterblichkeit – Excess Mortality – Teil 1

Kalender

April 2014
M D M D F S S
 123456
78910111213
14151617181920
21222324252627
282930  
« Mrz   Mai »

Archiv

Blogroll

  • Documentation
  • Ipernity
  • Kultur im Hof
  • Mastodon
  • Mein Wiki
  • Plugins
  • Suggest Ideas
  • Support Forum
  • Themes
  • WordPress Blog
  • WordPress Planet

Meine Seiten

  • Ipernity

Rheinbach

  • Gospelsingers Rheinbach
  • Rheinbach Live
  • Rheinbacher
  • Togo-Hilfe e.V.

Meta

  • Anmelden
  • Feed der Einträge
  • Kommentare-Feed
  • WordPress.org

Anmerkung zu SPAM

Sollten Sie über eine Google-Suche auf diese Seiten gestoßen sein, weil Sie nach Begriffen aus einer SPAM Mail gesucht haben: Ich bin nicht der Absender dieser Mails! Ich schreibe nur über diesen Müll und zitiere dazu aus den Mails. Deshalb finden Sie über eine Suchmaschine auch diese Seiten.

Ich leide – wie Sie – unter den Zeitgenossen, die ihr Wasser und Brot mit diesem Müll verdienen müssen, weil sie nichts anständiges gelernt haben.

Gewinnspiel Mail / Hoax

Sollten Sie eine Mitteilung über einen Geldgewinn und einer LADY INCOGNITO – Lustmuschi oder einem 15 x 3,3 cm Loveclone Super Real Dong – oder was immer den Kameraden noch einfällt – bekommen haben: Die Mail ist nicht von mir! Die Mail ist eine Fälschung.
WordPress-Theme: Occasio von ThemeZee.