Virenkiller.de

Mit einer Email versuchen Phisher an die Daten von Citibankkunden zu kommen, indem sie ihnen eine angeblich nötige Verifizierung ihres Kontos im Auftrage der Regierung vorgaukeln.

Betreff:

Aufmerksamkeit gegenuber allen Benutzern von citibank

Mailtext:

citibank

 Die Regierung hat der Citibank die Vollmacht erteilt das Guthaben der Kunden auf Ein-Tages-Konten zu prufen. Das hangt mit den haufig ungesetzlichen Umsatzen auf diesen Konten zusammen. Im Laufe der Ermittlungen, die mit Hilfe des Finanzamtes durchgefuhrt wurden, wurden Rechnungen gefunden, die auf nicht-exisierende Personen registriert wurden.

Nach der Festnahme der Tater wurde bekannt, dass es im System insgesamt mehrere “schwarze” Konten vorhanden sind. Um die illegalen Konten zu entdecken und gleichzeitig einen ungestorten Bankbetrieb mit den Kunden zu ermoglichen, wurde eine spezielle Form der Verifikation eingefuhrt. Die vielfaltige Autorisation soll dabei helfen, den Ort zu bestimmen, an dem der Eingang ins System durchgefuhrt wird, um somit die Entdeckung der “schwarzen” Konten zu beschleunigen.

Um auf die Form der Verifikation zu gelangen und sie ausfullen zu konnen, mussen Sie sich in Ihrem Konto einloggen.

Das konnen Sie hier machen.

https://www.citibank.de

Geben Sie bitte keine Antwort auf sterben betreffende Mitteilung. E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort. Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wahlen Sie Bastelraum Hinweis “Hilfe” auf der beliebigen Seite aus.

 Tatsächlich verweist der Link auf eine ganz andere Adresse

http://www.citibank.de.signin96446671.unamesignoncookie.do.pkd2.com/index.php
oder
http://www.citibank.de.signin01319196.unamesignoncookie.do.k5sf.com/index.php

Unter dieser Adresse wollen die Verursacher an die Kontodaten der Opfer herankommen. Sogar die Domain pkd2.com selbst gibt sich bereits als Citibankseite aus.

Die Urheber der Email sind der deutschen Sprache wohl nicht mächtig und setzen weitgehend auf automatische Übersetzungsprogramme, was Sätze wie „E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort.“ zeigen.

Außerdem fehlen überall die Umlaute… und ich weiß auch nicht, was ich im „Bastelraum Hinweis“ soll :-)

Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wahlen Sie Bastelraum Hinweis “Hilfe” auf der beliebigen Seite aus.

Saudämlich stellen sich die Phisher an, die dieses mal versuchen, an die Daten von Sparkassenkunden zu kommen.

Das beginnt bereits mit dem Anfang der Email:

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen

„Die Technische Abteilung der Volksbanken Raiffeisenbanken“ will also etwas von mir, hmm? Warum ist dann der Absender der Email „sparkasse“ und im Betreff steht:

Sparkasse: obligatorisch zu lesen (nachrichtenzahl: F2976….)

Schon seltsam. Und es geht noch damit weiter, dass die Mail einen Link zu einer Sparkassenseite enthält… angeblich…

Im HTML-Code geht der Link zu:

http://sparkasse.de/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Was schon wieder dumm ist, weil die Sparkasse selbst darauf hinweist, dass Ihre Links immer mit „https“ beginnen, wodurch abgesicherte Leitungen gekennzeichnet sind. Da der Link ohnehine ine Fälschung ist, hätten die Blödel wenigstens daran denken können, oder?

Tatsächlich verweist der Link nämlich auf:

http://sparkasse.de.techs.ec/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Auch die Seite selbst ist schwach gemacht und eine eher lächerliche Kopie einer Sparkassenseite. Primitive Framesets versuchen zu verschleiern, dass es letztlich um eine einzige PHP-Datei geht, die die eingegebenen Daten brav dem Phisher liefert und dann aufs Webportal der Sparkasse weiterleitet.

Dabei fällt auf, dass sowohl versteckte HTML-Kommentare wie Fehlermeldungen komplett deutsch gehalten sind. Die Gaurner mit dem rumänischen Server müssen also die Hilfe von deutschen Losern haben.

Grundsätzlich ist bei dieser wie bei allen anderen Phishingseiten festzuhalten:

Ihre Bank hat vermutlich gar keine Emailadresse von Ihnen und selbst wenn sie eine hätte…. sie würde Ihnen nicht schreiben! Also: Hirn anschalten oder die Konsequenzen tragen!