Virenkiller.de

Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.

Betreff:
Anleitung (nachrichtenzahl: hv89498592n)

Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

=================================================

© sparkasse.de 2007. Alle Rechte vorbehalten.

4XCT: 0x6315, 0x77, 0x87763137, 0x3280, 0x24, 0x80261008, 0x69, 0x3, 0x8 E8W function define 0x98, 0x0, 0x060, 0x560, 0x70026067, 0x97223230, 0x18680233, 0x0220 revision: 0x1, 0x93, 0x93, 0x624 7885: 0x0, 0x6803, 0x41795341, 0x28, 0x4539, 0x43108747, 0x38831787, 0x34346765, 0x0, 0x23334535, 0x6174, 0x6757 0x8, 0x031, 0x515, 0x88754971, 0x01, 0x7, 0x1256, 0x18, 0x2, 0x6, 0x1, 0x84175762 HY7C: 0x82, 0x07, 0x026, 0x985, 0x92965103, 0x4839, 0x84746818, 0x3, 0x65489813 rcs: 0x983, 0x1372, 0x93 7KQ: 0x6, 0x29520312, 0x4, 0x5615, 0x317

0x759, 0x63377769, 0x36, 0x83092159, 0x69, 0x2, 0x9, 0x58320156, 0x18, 0x578, 0x30, 0x63287570, 0x63, 0x96 0x5519, 0x4473, 0x125, 0x6, 0x35, 0x18, 0x6220, 0x1, 0x09339475, 0x0433, 0x48, 0x59783264, 0x336, 0x8176 include: 0x5708, 0x372 source revision CJSQ dec: 0x4, 0x54631848, 0x3, 0x43325787, 0x325, 0x9, 0x043, 0x09782923 0x035, 0x1, 0x151, 0x17, 0x577, 0x22144808, 0x63 NLJ, revision 5UI, tmp. hex: 0x16892796, 0x756, 0x99707437, 0x676, 0x8326, 0x5175, 0x2, 0x92, 0x2102 rcs: 0x4, 0x3567, 0x4, 0x9803, 0x3, 0x2, 0x3, 0x5, 0x29341735, 0x80, 0x22, 0x0459 0x1, 0x5197, 0x87734237, 0x5244, 0x76795692, 0x98602962, 0x463, 0x287, 0x83

0N4: 0x254, 0x0578, 0x81, 0x1680, 0x141, 0x9415, 0x9744 media: 0x86950362, 0x16441593, 0x0, 0x76, 0x71105520, 0x53647734, 0x705, 0x3536, 0x26084869 0x64, 0x935, 0x4, 0x344, 0x1109, 0x565, 0x086, 0x7624, 0x469, 0x8831, 0x42420734, 0x2, 0x99, 0x4630, 0x3 create: 0x98447281, 0x313, 0x1, 0x855, 0x9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0x8, 0x402, 0x2218, 0x25 hex: 0x8960, 0x9842, 0x3, 0x0, 0x4, 0x2, 0x76608189, 0x755, 0x42222397, 0x36854223, 0x29491868, 0x1794 KJ2Y: 0x54, 0x2, 0x05350041, 0x75988467, 0x71417153 CHD, 3M2, P3TV. 0x168, 0x8, 0x4749, 0x6359, 0x4, 0x9, 0x9728, 0x76, 0x6, 0x658, 0x879, 0x19454437, 0x5264

Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:

http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

also auf die Domain kjhds5.cn, eine chinesische Adresse!

Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.

Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:

Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.

Tipps von Virenkiller.de

1. Schalten Sie in Ihrem Emailprogramm die Funktion der HTML-Anzeige ab!
2. Nutzen Sie einen Browser mit Funktion gegen Phishing, wie etwa Firefox (Link rechts in der Menüspalte)

Saudämlich stellen sich die Phisher an, die dieses mal versuchen, an die Daten von Sparkassenkunden zu kommen.

Das beginnt bereits mit dem Anfang der Email:

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen

„Die Technische Abteilung der Volksbanken Raiffeisenbanken“ will also etwas von mir, hmm? Warum ist dann der Absender der Email „sparkasse“ und im Betreff steht:

Sparkasse: obligatorisch zu lesen (nachrichtenzahl: F2976….)

Schon seltsam. Und es geht noch damit weiter, dass die Mail einen Link zu einer Sparkassenseite enthält… angeblich…

Im HTML-Code geht der Link zu:

http://sparkasse.de/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Was schon wieder dumm ist, weil die Sparkasse selbst darauf hinweist, dass Ihre Links immer mit „https“ beginnen, wodurch abgesicherte Leitungen gekennzeichnet sind. Da der Link ohnehine ine Fälschung ist, hätten die Blödel wenigstens daran denken können, oder?

Tatsächlich verweist der Link nämlich auf:

http://sparkasse.de.techs.ec/kundendienst/anfang.cgi?id=5705736351181809923836367917339578477050888268623175

Auch die Seite selbst ist schwach gemacht und eine eher lächerliche Kopie einer Sparkassenseite. Primitive Framesets versuchen zu verschleiern, dass es letztlich um eine einzige PHP-Datei geht, die die eingegebenen Daten brav dem Phisher liefert und dann aufs Webportal der Sparkasse weiterleitet.

Dabei fällt auf, dass sowohl versteckte HTML-Kommentare wie Fehlermeldungen komplett deutsch gehalten sind. Die Gaurner mit dem rumänischen Server müssen also die Hilfe von deutschen Losern haben.

Grundsätzlich ist bei dieser wie bei allen anderen Phishingseiten festzuhalten:

Ihre Bank hat vermutlich gar keine Emailadresse von Ihnen und selbst wenn sie eine hätte…. sie würde Ihnen nicht schreiben! Also: Hirn anschalten oder die Konsequenzen tragen!