[tawarning align=“right“] Mit nur einem Bild und einen Link in der E-Mail versuchen die Betrüger ihre Opfer über das Mobile TAN-Verfahren der Postbank zu melken. Grundsätzlich setzt dies voraus, dass die Empfänger externe Inhalte wie Bilder automatisch nachladen lassen, was keine sichere Einstellung des Mail-Clients ist. Automatisches Nachladen, so praktisch es auch ist, gehört auf den Schrotthaufen der unsicheren Funktionen.
In diesem Artikel will ich kurz beschreiben, wie es weitergeht, wenn man den Anweisungen der Betrüger folgt.
Postbank Mobil TAN BetrugFake
Das obige Bild ersetzt den Text in einer Mail. Ziel ist, nicht als Spam erkannt zu werden.
Mail Text
Zur Dokumentation führe ich den Text aus dem E-Mail-Bild hier an:
Heute erhielt ich über einen Honigtopf eine Mail mit dem Betreff: message Die mobileTAN für Ihre Überweisung
Nun, ich nutze nur ein HBCI-Karte mit Kartenleser. Dies ganzen TAN-Verfahren sind mir Suspekt und in den Punkten Nutzerfreundlichkeit und Sicherheit der HBCI-Karte unterlegen. Kann also nur ein Betrugsversuch sein. Der Text der Nachricht lautet:
message Die mobileTAN für Ihre Überweisung über 690,00 Euro auf das Konto 121882982 lautet: 5N8IC3. F:Postbank
Angehängt ist eine ZIP-Datei postpank-message.zip (32784 Byte) mit einem ausführbaren Programm postpank-message.pdf.exe (61440 Byte).
Wie es scheint werden jetzt sämtliche Möglichkeiten ausprobiert, einen Nutzer dazu zu bewegen, diese Anhänge zu öffnen und auszuführen.
Wie üblich wird es von ClamAV noch nicht erkannt. Dies hat mich veranlasst mein ClamAV auf ein paar ältere Anhänge und deren Inhalt Programme anzusetzen. Das Ergebnis macht mich sprachlos.
thomas@x1:~/Documents/Spam/20120903> clamscan *.exe
BlackBerry_ID_Instructions.pdf.exe: OK
Google_Accounts_Alert.exe: OK
----------- SCAN SUMMARY -----------
Known viruses: 1300784
Engine version: 0.97.5
Scanned directories: 0
Scanned files: 2
Infected files: 0
Data scanned: 0.05 MB
Data read: 0.11 MB (ratio 0.50:1)
Time: 2.266 sec (0 m 2 s)
Auch alle anderen werden nicht erkannt. ClamAV erkennt nur den EICAR Test Virus. Seltsam, irgend etwas stimmt hier nicht. Aber das muss bis morgen warten.
Gestern hatte ich kurz vor einer arglistigen oder betrügerischen(fraudulent)[1] E-Mail [2] gewarnt. Dies ist die Variante der „Chase Account Update Phishing Mails“ für deutsche Postbankkunden.
Schaut man sich die Mail genau an – im HTML-Format – fällt auf, dass an Stelle der deutschen Umlaute kyrillischen Zeichen erscheinen. Dies liegt daran, dass der als Content-Type: text/html; charset=“Windows-1251″[3] angegeben ist. Die 1251 steht dabei für kyrillisch. Um für deutsche Postbankkunden die Umlaute richtig anzuzeigen, muss hier 1252 stehen. Die Mail wurde von einem – vermutlich kompromittierten – Rechner in Amerika verschickt.
In der HTML-Ansicht scheinen die Links auf einen Server der Postbank zu zeigen – ein alter und immer noch beliebter Trick. Versuchen Sie es mal hier: https://banking.postbank.de/rai/login (Auch eine schöne Seite, aber bitte nicht zu lange weg bleiben, wiederkommen und weiter lesen.)
Ein Klick auf den Link in der Mail führt zu einem Server mail.thephx.com und nicht zum Server der Postbank. Einen Screenshot der Seite sehen Sie am Anfang dieses Beitrages. Die IP-Adressen der Rechner gehören zu großen Netzen nord-amerikanischer Provider. Mehr habe ich noch nicht herausgefunden. „The Phonix“ ist ein historischer „Gentleman‘ Club“. Warum in deren Namensraum ein Eintrag auf den Server mail.thephx.com (IP:69.61.181.2) existiert? Gute Frage.
Sicherer surfen? Ja. Sicher surfen? Nein! Ich habe mich dort jetzt als Site Reviewer angemeldet.
Bei dem „Chase Account Update“-Betrug wird die Mail über eine Domain recommendedinns.com (IP:173.224.213.145) verschickt, die zur Seite http://www.recommendedinns.com/ führt. Der Web-Server und der Names-Server liegen auf der gleichen IP-Adresse. Warum der Server die Mails weiter leitet? Vielleicht ist er als offener Relay-Host konfiguriert?
Anmerkung: Wer keine kyrillisch schreibenden E-Mail Partner hat, der hat mit dem Charakter Set Windows-1251 einen guten Spam Indikator.
Diese Website benutzt Cookies und verarbeitet personenbezogene Daten.. Wenn Sie diese Website weiter nutzen, gehe ich von Ihrem Einverständnis gem. Artikel 6 (1) a) DSVGO aus. Weitere Informationen erhalten Sie auf der Seite Datenschutz.OKAblehnenDatenschutz
