Virenkiller.de

Der Text ist gar nicht so schlecht gemacht. Und wer dumm genug ist, unkontrolliert auf jeden Link zu klicken, der landet mit etwas Glück noch auf einer Firefox-Sperre. Hier der Text:

Lieber Kunde,

Wir arbeiten ständig daran, die Sicherheit zu garantieren, indem wir die Konten in unserem System regelmäßig überprüfen.
Ihr Konto wurde kürzlich eingesehen und wir benötigen weitere Informationen, um einen sicheren Dienst anbieten zu können.
Bis zum Erhalt dieser Informationen, ist Ihr Zugriff auf wichtige Kontofunktionen eingeschränkt.
Wir möchten Ihren Zugriff so bald wie möglich wiederherstellen und entschuldigen uns für die Unannehmlichkeiten.
Warum ist der Zugriff auf mein Konto eingeschränkt?
Der Zugriff auf Ihr Konto wurde aus folgendem/n Grund/Gründen eingeschränkt:
Laut EU-Richtlinien sind wir verpflichtet, Ihre Konto-Informationen zu sammeln und zu bestätigen.
Wir wenden uns an Sie, um sicherzustellen, dass sich niemand ohne Ihre Zustimmung in Ihrem Konto eingeloggt hat.
Was kann ich tun, um den Zugriff auf mein Konto wiederherzustellen?
Normalerweise ist es relativ einfach, Dinge wie diese aus der Welt zu schaffen. In den meisten Fällen benötigen
wir ein paar mehr Informationen über die letzten Transaktionen Ihres Kontos.
Um uns dabei zu helfen und herauszufinden, was Sie mit Ihrem Konto machen und nicht machen können,
bis das Problem behoben ist, besuchen Sie bitte das Konfliktlösungen. (hier ein gefährlicher Link)

Wir prüfen die Informationen, die Sie bereitstellen und senden Ihnen eine E-Mail, falls wir weitere Einzelheiten
benötigen oder wenn Ihr Konto wieder normal verwendet werden kann.
Wenn alle Elemente der Prüfliste abgeschlossen wurden, wird der Zugriff auf Ihr Konto automatisch wiederhergestellt.
Co?yright © 1999-2013. ?lle Rechte vorbeh?lten.

Der Absender hat aber nichts mit Paypal zu tun. Vielmehr handelt es sich um ganz alltägliche (unschuldige) Emailadressen.

Und das Betreff lautet: Zusätzliche Informationen erforderlich

Die Domain p4yp0int.com ist auf eine Lena Papst aus Arnstadt registriert und liegt angeblich sogar auf dem Paypal-Server. Dahinter steckt allerdings nur der Trick eines russischen Nameservers.

Wie immer gilt:

• Nicht anklicken
• Löschen
• Erstmal mit der Maus über solche Links fahren und gucken, wohin die wirklich führen sollen.

August 2011

Mal überlegen: Haben Sie Firefox mal Ihre Email gegeben? Hat irgendwer Firefox seine Email gegeben?

Nicht? Warum fallen dann trotzdem Leute auf eine Email von (angeblich) Firefox herein, die sie zu einem Update des Browsers auffordert und dazu einen Link mitschickt?

Vielleicht sind das dieselben Leute, die nicht darüber nachdenken, dass sie ihrer Bank nie eine Emailadresse gegeben haben und deren angeblichen Emails trotzdem für echt halten…

Derzeit erreichen uns also Updateaufforderungen von Firefox. Deren Zweck ist es aber höchstens, Passworte zu stehlen.

Betreff: New version released.

Mailtext:

Important notice
A Firefox software update is a quick download of small amounts of new code to your existing Firefox browser. These small patches can contain security fixes or other little changes to the browser to ensure that you are using the best version of Firefox available. Firefox is constantly evolving as our community finds ways to make it better, and as we adjust to the latest security threats. Keeping your Firefox up-to-date is the best way to make sure that you are using the smartest, fastest and . most importantly . safest version of Firefox available. A Firefox update will not make any changes to your bookmarks, saved passwords or other settings. However, there is a possibility that some of your Add-ons won.t be immediately compatible with new updates.
For security reasons please update your firefox version now
[LINK]

Mit dem Link wird eine ausführbare Datei zum Download angeboten. Raffinierterweise wird tatsächlich eine Firefoxinstallation der Version 5.0.1 angeboten. Und darin eigeflochten ein Trojaner, welcher Passwörter ausschnüffelt.

Das sollte aber anders laufen!

KEINER der vertretenen Scanner erkannte den Virus, der sich derzeit mit Verspätung als Valetntinskarte tarnt.

Wie heißt es da so schön?

Robbie has created the ecard and wrote this to you:
„You are my sweetheart!“
To view your eCard, click on the following link:
http://ua. entfernt .com/?id=618c2a0426e51a20e90ab22c505a0
Best Wishes, holidaycards.com.

Betreff:
Robbie has sent you a greeting card!

Ist klar, Robbie sendet mir eine Karte… Eine Person von der ich noch nie gehört habe schickt mir von einer unbekannten Domain eine Valentinskarte . 5 Tage zu spät.

Und da ist nicht mehr als ein blödes Bildchen (siehe oben) und ein Link zu einer Datei namens install.exe (441.345 Byte)

Beim ThreatExpert ist man da schon cleverer. Dort hält man das Ding für eine Abart des Waledac. Der hat zum Valentinstag schon für Furore gesorgt. Seltsam genug, dass er immer noch nicht zuverlässig erkannt wird.

Er erzeugt in der Registry einen Key namens PromoReg und versucht, sich mit einem Server in Spanien zu verbinden, der aber mittlerweile abgeschaltet ist.

Er spioniert Tastenanschläge aus, die er per Email versenden kann. Außerdem überwacht er Onlinebankingbesuche und schnüffelt Passworte aus..

Naja, wenigstens bei Virustotal schlagen einige Scanner an:
CAT-QuickHeal – – (Suspicious) – DNAScan
F-Secure – – Suspicious:W32/Malware!Gemini
Microsoft – – Trojan:Win32/Waledac.A
SecureWeb-Gateway – – Trojan.LooksLike.Backdoor.Hupigon

Video-Codecs nennt man eine Art Treiber, mit deren Hilfe man Videodateien ungewöhnlicher Formate auf seinem Player betrachten kann.

Ab uns zu wird man im Internet aufgefordert, doch vor dem Betrachten eines Filmcherns erst den passenden Code zu installieren.

Mit diesem Trick versucht es nun ein wirklich hinterhältiges Virusprogramm.

Trojaner biegt die DNS-Einstellungen des Routers um

So kann es passieren, dass man entweder einem Emaillink folgt oder durchs normale Surfen auf eine angeblich interessante Videodatei aufmerksam gemacht wird. Doch anstatt dort ein Video zu sehen, wird man zum Download eines Codec aufgefordert.

Dieser heißt dann zum Beispiel
red-codec.v.4.103.exe (174,523 Byte)

Antivir erkennt die Gefahr nicht, doch verschiedene andere Scanner schlagen Alarm!

Unter Namen wie DNSChanger.AE, Trojan.DNSChanger.TE, Trojan-Dropper.NSIS.Agent.c oder Troj/Zlobar-Fam erkennen sie allesamt einen Trojaner aus der ZLOB-Familie, der in der Lage ist, einen DSL-Router zu manipulieren.

Dadurch werden alle Routerabfragen dann an eine IP in der Ukraine geschickt, die Seitenaufrufe z.B. auf Phishingseiten umleiten kann.

Wichtig:
Ist das System einmal versaut, hilft kein Reinigen des Rechners. Der Router muss auf die Werkseinstellungen zurückgesetzt werden, um ihn zu reinigen!

Dazu ein Artikel bei PC Welt >>

Keine Codes ungeprüft installieren!

Videocodecs sind meist nicht sehr groß. Es spricht also nichts dagegen, sie erst einmal zu überprüfen. Sowieso sollte man sich überlegen, ob man jeden Codec braucht und installieren sollte… Wenn es sich um eine ungewöhnliches Format handelt, ist die Wahrscheinlichkeit gering, den Treiber noch einmal zu brauchen… also warum sollte man sich dieser Gefahr aussetzen?

Generell sollte man nur Codecs von der Herstellerseite bzw. vertrauenswürdigen Portalen downloaden – UND sie nochmal überprüfen.

Am 16.6.2008 ist die Gefahr relativ wenig bekannt.

Bei Jotti heißt es:

AVG Antivirus  DNSChanger.AE gefunden 
BitDefender  Trojan.DNSChanger.TE gefunden 
F-Secure Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Ikarus  Virus.Trojan.Win32.DNSChanger.chg gefunden 
Kaspersky Anti-Virus  Trojan-Dropper.NSIS.Agent.c gefunden 
Sophos Antivirus  Troj/Zlobar-Fam gefunden 

Und Virustotal vermeldet:

Avast 4.8.1195.0 2008.06.15 Win32:DNSChanger-VR
AVG 7.5.0.516 2008.06.15 DNSChanger.AE
BitDefender 7.2 2008.06.16 Trojan.DNSChanger.TE
Fortinet 3.14.0.0 2008.06.15 W32/DNSChanger.0513!tr
Ikarus T3.1.1.26.0 2008.06.16 Virus.Trojan.Win32.DNSChanger.chg
Kaspersky 7.0.0.125 2008.06.16 Trojan-Dropper.NSIS.Agent.c
Prevx1 V2 2008.06.16 Cloaked Malware
Sophos 4.30.0 2008.06.16 Troj/Zlobar-Fam
TheHacker 6.2.92.351 2008.06.16 Trojan/DNSChanger.chg

Update

Dank meiner Einsendung erkennt Antivir den Schädling seit 16.6.2008, 15:45 Uhr und hat ihm den Namen
DR/Drop.Nsis.Agent.C.17
gegeben.

Mit einem neuen Phishingversuch versuchen Verbrecher, an die Kundendaten von Citibankkunden zu kommen.

Der verlinkte Server liegt in China, die Mail strotzt wieder mal nur so vor Satzfehlern.

Absender der Mail ist angeblich Citibank Deutschland.

Betreff:
achtung [nachricht id: b52109504365]

Mailtext:
Sehr geehrter Nutzer der Citibank Deutschland,

Technischer Bankdienst hat neue Sicherheitsmaßnahmen für seine Kunden eingeführt. Eine von denen – Citibank Kundenform.
Sie sollen regelmäßig Citibank Kundenform ausfüllen. Das ist obligatorisch für alle Citibankkunden.

Um die Formausfüllung anzufangen, drücken Sie bitte den Link unten.

Citibank Kundenform [Link wurde entfernt]

Diese Nachricht ist automatisch erschafft worden. Sie brauchen nicht darauf zu antworten.

Diese Mail ist automatisch erschafft worden… so so…

Wer auf so etwas hereinfällt hat es eigentlich verdient.

Der Server ist derzeit nicht mehr erreichbar, so dass ich keine Aussagen darüber machen kann, ob es sich dabei auch noch um einen "Drive by Download" handelt – also ob dem Besucher der Seite noch Exploits oder Trojaner untergeschoben werden sollen.

Die Volksbank-Phisher versuchen es mal wieder!

Angeblich muss man mal wieder seine Kundendaten ausfüllen. Dazu wird man angeblich auf eine Seite der Volksbank gebeten.

Tatsächlich wird aber eine chinesische Webadresse aufgerufen, die dem Besucher ein Formular zum Ausfüllen präsentiert.

Bereits mit dem Text der Mail haben die – vermutlich nicht deutschen – Idioten Probleme. Und auch das Formular ist nicht in der Lage, Umlaute korrekt darzustellen.

Betreff

Neuer Zugang zum Online-Banking

Der Mailtext

HTML-Version:

   Sehr geehrter Kunde, sehr geehrte Kundin,

   Die Technische Abteilung der Volksbanken Raiffeisenbanken möchte Sie bitten,
   die Formular zur Bestätigung der Kundendaten auszufüllen.

   Das Ausfüllen dieses Formulars ist obligatorisch für alle Bankkunden.

   Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
   zu bestätigen. Bitte füllen Sie dieses Formular vollständig aus.
http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

   Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
   Ihnen für Ihre Mithilfe.

   ***** Bitte antworten sie nicht auf diese mail *****

   Diese Nachricht wurde automatisch generiert

Reiner Text (Umlautprobleme)

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken mochte Sie bitten,
die Formular zur Bestatigung der Kundendaten auszufullen.

Das Ausfullen dieses Formulars ist obligatorisch fur alle Bankkunden.

Wir mochten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestatigen. Bitte fullen Sie dieses Formular vollstandig aus.

http://www.volksbank.deinst31.cn/DEGCB/JPS/portal/Index.do

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen fur Ihre Mithilfe.

***** Bitte antworten sie nicht auf diese mail *****

Diese Nachricht wurde automatisch generiert

Tatsächlich geht es zu:

http://vr-networld.de.firu10.cn/DEGCB/JPS/gad
einer chinesischen Adresse auf einem rumänischen Server.

Vorsicht, weiterlesen. Könnte Exploit im iFrame enthalten!!!

Firefox erkennt die Phishing-Attacke sofort!

Warnung

Die oben genannte Seite enthält noch einen 1-Pixel großen iFrame, welcher zu einem Server in Hong Kong führt. Der könnte ein Exploit beinhalten!

Verhaltensregel

Ihre Bank wird Sie niemals auffordern, ihre Daten auf so einer Seite einzugeben. NIEMALS! Ignorieren Sie solche Mails. Löschen Sie sie. Gucken Sie NICHT aus Neugier nach, was sich dahinter verbirgt!

Pünktlich zum nächsten „Feiertag“ senden und die BotNetz-Betreiber den nächtsen Trojaner. Da weil sie fleißig sind und sich damit so viel Geld verdienen läßt, ist es wieder ein neuer, unbekannter Virus!

Dieses mal soll es also angeblich ein Valentinsgruß sein. Die Verbreiter haben auch dazugelernt und wer nun diese Seiten besucht, bekommt ein nettes Bildchen zu sehen und nach 5 Sekunden bieter sich automatisch die Datei valentine.exe zum Download an.

Die 119.809 Byte große Datei wird aktuell (12.2.2008) von fast keinem Scanner erkannt. Lediglich eSafe ist sie „verdächtig“ und F-Secure sowie Kaspersky nennen das Kind beim Namen: Packed.Win32.Tibs.ic. Sophos hat einen anderen Namen: W32/Dorf-AW.

Interessant daran ist, dass Packed.Win32.Tibs.i recht lange bekannt ist. Jeder Scanner sollte ihn erkennen.

Die Emails selbst haben Betreffs wie:
Thinking Of U All Day
You’re Super Sweet
Blind Love
Love Poem
I Love You

und sollen uns dann auf eine Webseite locken, die lediglich aus einer IP-Adresse besteht.

Threat Expert wird genauer. Dort ist die Bedrohung bekannt als Storm Worm bzw. CME-711/Peacomm/Nuwar/Zhelatin/Tibs. Zwei seltsame Dateien werden angelegt, anhand derer der Befall schon feststellbar ist:

%System%\diperto.ini (40,270 bytes)
%System%\diperto1205-67d5.sys

Auch in der Registry legt sich der Trojaner ab. Zum Besipiel als

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO1205-67D5

Mehr dazu hier:
http://www.threatexpert.com/report.aspx?md5=f15f53c810a76d9413d11297516dec62

Update 12.2.:
Nachdem ich Avira ein Beispiel geschickt habe, erkennt Antivir die Bedrohung seit etwa 11:00 Uhr.

Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.

Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.

VORSICHT: Script!

Man kann davon ausgehen, dass diese Seite auch „virenverseucht“ ist und mithilfe eines sogenannten „Cross-Site-Scripting“ Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!

Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008

Mailtext:

Neu PayPal-Sicherheits-Center 2008.
Guten Tag,

Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.

Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen

Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team

Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.

Virenkiller.de-Rat:

1. Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
2. Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
3. Tragen Sie sich in unseren Virennewsletter ein.

Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.

Betreff:
Anleitung (nachrichtenzahl: hv89498592n)

Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

=================================================

© sparkasse.de 2007. Alle Rechte vorbehalten.

4XCT: 0x6315, 0x77, 0x87763137, 0x3280, 0x24, 0x80261008, 0x69, 0x3, 0x8 E8W function define 0x98, 0x0, 0x060, 0x560, 0x70026067, 0x97223230, 0x18680233, 0x0220 revision: 0x1, 0x93, 0x93, 0x624 7885: 0x0, 0x6803, 0x41795341, 0x28, 0x4539, 0x43108747, 0x38831787, 0x34346765, 0x0, 0x23334535, 0x6174, 0x6757 0x8, 0x031, 0x515, 0x88754971, 0x01, 0x7, 0x1256, 0x18, 0x2, 0x6, 0x1, 0x84175762 HY7C: 0x82, 0x07, 0x026, 0x985, 0x92965103, 0x4839, 0x84746818, 0x3, 0x65489813 rcs: 0x983, 0x1372, 0x93 7KQ: 0x6, 0x29520312, 0x4, 0x5615, 0x317

0x759, 0x63377769, 0x36, 0x83092159, 0x69, 0x2, 0x9, 0x58320156, 0x18, 0x578, 0x30, 0x63287570, 0x63, 0x96 0x5519, 0x4473, 0x125, 0x6, 0x35, 0x18, 0x6220, 0x1, 0x09339475, 0x0433, 0x48, 0x59783264, 0x336, 0x8176 include: 0x5708, 0x372 source revision CJSQ dec: 0x4, 0x54631848, 0x3, 0x43325787, 0x325, 0x9, 0x043, 0x09782923 0x035, 0x1, 0x151, 0x17, 0x577, 0x22144808, 0x63 NLJ, revision 5UI, tmp. hex: 0x16892796, 0x756, 0x99707437, 0x676, 0x8326, 0x5175, 0x2, 0x92, 0x2102 rcs: 0x4, 0x3567, 0x4, 0x9803, 0x3, 0x2, 0x3, 0x5, 0x29341735, 0x80, 0x22, 0x0459 0x1, 0x5197, 0x87734237, 0x5244, 0x76795692, 0x98602962, 0x463, 0x287, 0x83

0N4: 0x254, 0x0578, 0x81, 0x1680, 0x141, 0x9415, 0x9744 media: 0x86950362, 0x16441593, 0x0, 0x76, 0x71105520, 0x53647734, 0x705, 0x3536, 0x26084869 0x64, 0x935, 0x4, 0x344, 0x1109, 0x565, 0x086, 0x7624, 0x469, 0x8831, 0x42420734, 0x2, 0x99, 0x4630, 0x3 create: 0x98447281, 0x313, 0x1, 0x855, 0x9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0x8, 0x402, 0x2218, 0x25 hex: 0x8960, 0x9842, 0x3, 0x0, 0x4, 0x2, 0x76608189, 0x755, 0x42222397, 0x36854223, 0x29491868, 0x1794 KJ2Y: 0x54, 0x2, 0x05350041, 0x75988467, 0x71417153 CHD, 3M2, P3TV. 0x168, 0x8, 0x4749, 0x6359, 0x4, 0x9, 0x9728, 0x76, 0x6, 0x658, 0x879, 0x19454437, 0x5264

Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:

http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

also auf die Domain kjhds5.cn, eine chinesische Adresse!

Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.

Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:

Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.

Tipps von Virenkiller.de

1. Schalten Sie in Ihrem Emailprogramm die Funktion der HTML-Anzeige ab!
2. Nutzen Sie einen Browser mit Funktion gegen Phishing, wie etwa Firefox (Link rechts in der Menüspalte)

Mit einer Email versuchen Phisher an die Daten von Citibankkunden zu kommen, indem sie ihnen eine angeblich nötige Verifizierung ihres Kontos im Auftrage der Regierung vorgaukeln.

Betreff:

Aufmerksamkeit gegenuber allen Benutzern von citibank

Mailtext:

citibank

 Die Regierung hat der Citibank die Vollmacht erteilt das Guthaben der Kunden auf Ein-Tages-Konten zu prufen. Das hangt mit den haufig ungesetzlichen Umsatzen auf diesen Konten zusammen. Im Laufe der Ermittlungen, die mit Hilfe des Finanzamtes durchgefuhrt wurden, wurden Rechnungen gefunden, die auf nicht-exisierende Personen registriert wurden.

Nach der Festnahme der Tater wurde bekannt, dass es im System insgesamt mehrere “schwarze” Konten vorhanden sind. Um die illegalen Konten zu entdecken und gleichzeitig einen ungestorten Bankbetrieb mit den Kunden zu ermoglichen, wurde eine spezielle Form der Verifikation eingefuhrt. Die vielfaltige Autorisation soll dabei helfen, den Ort zu bestimmen, an dem der Eingang ins System durchgefuhrt wird, um somit die Entdeckung der “schwarzen” Konten zu beschleunigen.

Um auf die Form der Verifikation zu gelangen und sie ausfullen zu konnen, mussen Sie sich in Ihrem Konto einloggen.

Das konnen Sie hier machen.

https://www.citibank.de

Geben Sie bitte keine Antwort auf sterben betreffende Mitteilung. E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort. Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wahlen Sie Bastelraum Hinweis “Hilfe” auf der beliebigen Seite aus.

 Tatsächlich verweist der Link auf eine ganz andere Adresse

http://www.citibank.de.signin96446671.unamesignoncookie.do.pkd2.com/index.php
oder
http://www.citibank.de.signin01319196.unamesignoncookie.do.k5sf.com/index.php

Unter dieser Adresse wollen die Verursacher an die Kontodaten der Opfer herankommen. Sogar die Domain pkd2.com selbst gibt sich bereits als Citibankseite aus.

Die Urheber der Email sind der deutschen Sprache wohl nicht mächtig und setzen weitgehend auf automatische Übersetzungsprogramme, was Sätze wie „E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort.“ zeigen.

Außerdem fehlen überall die Umlaute… und ich weiß auch nicht, was ich im „Bastelraum Hinweis“ soll :-)

Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wahlen Sie Bastelraum Hinweis “Hilfe” auf der beliebigen Seite aus.

Saudämlich stellen sich die Phisher an, die dieses mal versuchen, an die Daten von Sparkassenkunden zu kommen.

Das beginnt bereits mit dem Anfang der Email:

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen

„Die Technische Abteilung der Volksbanken Raiffeisenbanken“ will also etwas von mir, hmm? Warum ist dann der Absender der Email „sparkasse“ und im Betreff steht:

Sparkasse: obligatorisch zu lesen (nachrichtenzahl: F2976….)

Schon seltsam. Und es geht noch damit weiter, dass die Mail einen Link zu einer Sparkassenseite enthält… angeblich…

Im HTML-Code geht der Link zu:

http://sparkasse.de/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Was schon wieder dumm ist, weil die Sparkasse selbst darauf hinweist, dass Ihre Links immer mit „https“ beginnen, wodurch abgesicherte Leitungen gekennzeichnet sind. Da der Link ohnehine ine Fälschung ist, hätten die Blödel wenigstens daran denken können, oder?

Tatsächlich verweist der Link nämlich auf:

http://sparkasse.de.techs.ec/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Auch die Seite selbst ist schwach gemacht und eine eher lächerliche Kopie einer Sparkassenseite. Primitive Framesets versuchen zu verschleiern, dass es letztlich um eine einzige PHP-Datei geht, die die eingegebenen Daten brav dem Phisher liefert und dann aufs Webportal der Sparkasse weiterleitet.

Dabei fällt auf, dass sowohl versteckte HTML-Kommentare wie Fehlermeldungen komplett deutsch gehalten sind. Die Gaurner mit dem rumänischen Server müssen also die Hilfe von deutschen Losern haben.

Grundsätzlich ist bei dieser wie bei allen anderen Phishingseiten festzuhalten:

Ihre Bank hat vermutlich gar keine Emailadresse von Ihnen und selbst wenn sie eine hätte…. sie würde Ihnen nicht schreiben! Also: Hirn anschalten oder die Konsequenzen tragen!

Wieder versuchen Betrüger an unsere Kontodaten zu kommen, um sich selbst Geld zu überweisen. Dieses Mal sind die Kunden der Volksbanken Raiffeisenbanken ihr Ziel.

Betreffzeile:
Volksbanken Raiffeisenbanken AG: 16/10/2007

Text der Mail:

Sehr geehrter Kunde, sehr geehrte Kundin,

   Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit
   eine  vorgesehene  Software-Aktualisierung  durch, um die Qualität des
   Online-Banking-Service zu verbessern.

   Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
   zu bestätigen.

   http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

   Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
   Ihnen für Ihre Mithilfe.

Tatsächlich geht der Link aber auf eine Domain, die auf einem chinesischen Server liegt (http://www.volks2.cn/ und volks4.cn)

Dort versucht man, Kontonummern, Passwort und TANs von Volksbankkunden auszuspähen.

Firefox erkennt den Betrug und warnt vor der Phishingseite.

Bevor Sie auf eine solche Seite hereinfallen, machen Sie sich folgendes klar:

1. In der Regel hat Ihre Bank gar keine Emailadresse von Ihnen
2. Normalerweise versenden Banken keinerlei Emails

„Phishing“ funktioniert! Damit ist gemeint, wenn man unbedarfte Internetsurfer dazu verleiten kann, auf einer gefälschten – aber verdammt gut gemachten – Seite ihre Kontonummer, Kreditkartennummer, ihr Passwort, Ihr PIN oder TAN einzugeben.

Dabei sind die Mails nicht einmal perfekt gemacht. Allein schon die grammatikalischen Fehler, die fehlenden Umlaute, die fehlerhafte Anrede, der holprige Stil weisen überdeutlich auf die Fälschung hin.

Andrerseits halten die meisten Leute ihre Banken etc. scheinbar ohnehin für unpersönlich und ungebildet. Denn wie anders ist es zu erklären, dass man auf eine Email hereinfällt, in der man mit „Sehr geehrte Kunde“ angesprochen wird? Und die mit „Es ist eine wichtige Mitteilung“ beginnt?

Vor allem dann, wenn man gar nicht Kunde der Bank ist?! :-)

Genau so eine Mail ist derzeit unterwegs. Angeblich von der Volksbank stammend, unterrichtet Sie deren Kunden davon, dass am 1. Oktober eine „Kodekarte iTAN“ eingeführt werden soll. Und weiter: „Das garantiert die hoehere Stufe der Sicherheit beim Nutzen von Ihrem Konto.“

OK, ich gebe zu, ich bin Zyniker. Wer darauf hereinfällt, der hat es verdient!

Jedenfalls solle man doch bitte zur Domain www.volksbankitan.com bzw. volksbankitancard.com oder volksbankitans.com, gehen und dort dann die Karte bestellen (die laut Email eigentlich automatisch kommen soll…)

Und so heißt es also in dümmsten China-Deutsch:
„Nachdem Sie die geschluesselte Zone der Seite betreten, brauchen Sie eine E-Mail und einen Namen einzutragen, an denen die Mitteilung ueber den Sendungszustand kommt.“

Noch Fragen?

Hier der vollständige Mailtext:

Es ist eine wichtige Mitteilung

Sehr geehrte Kunde,
Kodekarte iTAN soll bis zum 1.Oktober aktiviert werden.

Die Volksbank schickt Ihnen per Post eine Kodekarte fuer die Bestaetigung der Operationen, die im fernen Zugang zum Konto per Internet und Telefon durchgefuehrt worden waren. Das garantiert die hoehere Stufe der Sicherheit beim Nutzen von Ihrem Konto.

Die Kodekarte iTAN unterscheidet sich von Ihrer Liste der TAN-Koden. In der Karte der iTAN-Koden finden Sie die Matrixebene mit 10 Spalten und mit 10 Reihen. Fuer die Operationen, die die Bestaetigung brauchen, muss man die TAN-Kode aus der bestimmten Koordinate eintragen, die von der Volksbank angefordert wird.

Wofuer ist es noetig

Die Untersuchung, die von dem Sicherheitsdienst der Volksbank durchgefuehrt worden war, hat gezeigt, dass die Tabellen der TAN-Koden kein sicheres Mittel fuer den Schutz der Konten von dem unbefugten Zugriff sind. Dafuer wurde die sicherere Form der Bestaetigung der Kunden ausgearbeitet.

Wie ist es zu bestellen

Fuer die Bestellung einer Karte muss man persoenlich Ihre Agentur der Volksbank besuchen und ein Bestellungsformular ausfuellen. Wenn Sie persoenlich die Agentur nicht besuchen koennen oder wollen, koennen Sie die Bestellung auch online machen. Die Volksbank hat einen speziellen Portal fuer die Bestellungen gemacht:

Volks Bank Card iTAN

Wie kann man die iTAN-Karte durch den Portal bestellen

Nachdem Sie die geschluesselte Zone der Seite betreten, brauchen Sie eine E-Mail und einen Namen einzutragen, an denen die Mitteilung ueber den Sendungszustand kommt. Das koennte sowohl Ihre E-Mail als auch die E-Mail von Ihrer vertrauten Person sein. Sie brauchen keine Adresse einzutragen, die iTAN-Karte kommt an Ihre angemeldete Adresse. Fuer die Operationbestaetigung brauchen Sie, wie immer, eine unbenutzte Kode TAN einzutragen. Vergessen Sie bitte nicht Ihre korrekte E-Mail Adresse einzutragen, da unser Servicedienst die Bestaetigung und die Pruefung der Bestellungen per E-Mail macht.

Wenn Sie Fragen haben

Viele unsere Kunden haben gesagt, dass Sie auf die Antwort zu ihren Fragen per Telefon sehr lange warten sollen. Da unsere Telefonverbindung stark besetzt ist, dauert ein Anruf durchschnittlich 40 Minuten. Um alle Ihre Fragen zu beantworten, die mit der Einfuehrung der Kodekarten iTAN verbunden sind, haben wir einen speziellen Auskunftdienst rund um die Uhr organisiert. Besuchen Sie unseren Portal, tragen Sie Ihre E-Mail auf der Bestellungsform der Karte ein, und unser Dienst kontaktiert mit Ihnen.

Mit freundlichen Gruessen,
Helmut Gawlik,
Vertreter der Volksbank

Sowas kann man übrigens an die Volksbankportalbetreiber melden:
vr-antiphishing@gad.de

Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!

Einfach hier rechts im Menü anmelden!