Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen

Sicherheit (Pexels, allgemeine Nutzung)Schon sind wir beim 13. Türchen des Sicherheits-Adventskalenders, welches geöffnet werden darf. Es geht um Phishing von Bankdaten. Seit einigen Wochen läuft wohl eine neue Phishing-Kampagne, die auf deutsche E-Banking-Nutzer abzielt. Bei der Kampagne kommen QR-Codes zum Einsatz, um Zugangsdaten von Bankkonten abzufischen. Die Empfänger werden über eine Reihe von Tricks dazu gebracht, Sicherheitslösungen zu umgehen, die Nachrichten zu öffnen und die Anweisungen und zu befolgen.


Anzeige

Aufgedeckt haben dies Sicherheitsforscher vom Cofense Phishing Defense Center, die das in diesem Beitrag dokumentiert haben. Ich bin über nachfolgenden Tweet der Kollegen von Bleeping Computer auf diese Angriffswelle aufmerksam geworden.

Dabei stehen als Finanzinstitute besonders Sparkassen und Volksbanken Raiffeisenbanken im Visier. Die Oper erhalten E-Mails mit unterschiedlichem Inhalt. Die Inhalte reichen von angeblichen Nachrichten, die im elektronischen Postfach des Nutzers warten, bis hin zur Bitte um Zustimmung zu von der Bank durchgeführten Änderungen oder der Aufforderung an die Nutzer, sich mit neuen Sicherheitsverfahren vertraut zu machen. Ich hatte vor einigen Tagen im Beitrag Verstärkte Phishing-Kampagnen auf Bankkunden (Okt./Nov. 2021) – Teil 1 auf diesen Sachverhalt hingewiesen. Hier eine Phishing-Mail an Sparkassen-Kunden aus obigem Artikel.

Phishing-Mail an Sparkassen-Kunden.

Im Confense-Artikel finden sich weitere Beispiele solcher Phishing-Mails. Das Ziel ist in allen Fällen dasselbe: Die Benutzer sollen dazu verleitet werden, sich auf der Bank-Website anzumelden und den Angreifern ihre Anmeldedaten zu übermitteln. Dabei verweisen die Links zum Einloggen auf  kompromittierte Domänen als Umleitungs-URLs und Phishing-Seiten.  Es wurde auch beobachtet, dass Angreifer den Feed-Proxy-Dienst FeedBurner von Google für Umleitungen missbrauchten.  In jüngster Zeit haben die Angreifer jedoch ihre eigenen benutzerdefinierten Domains sowohl für die Weiterleitung als auch als endgültige Zielseiten registriert. Wenn sich der Nutzer nicht in Deutschland befindet, wird er auf eine andere Seite umgeleitet.

Wechselnde Domains und QR-Codes

Diese neueren Phishing-Seiten haben je nach Zielinstitut ("spk" für Sparkasse oder "vr" für Volksbanken Raiffeisenbanken) die folgende URL-Struktur

hxxps://{spk/vr}-{zufällige(s) deutsche(s) Wort(e)}.com/{10 alphanumerische Zeichen}

Das PDC hat mehrere Beispiele für diese neu registrierten Domänen fefunden. Bemerkenswert ist, dass die meisten denselben russischen Registrar, REG.RU, verwenden. In einigen der neuesten E-Mails fügen die Angreifer QR-Codes ein, die, wenn sie gescannt werden, den Nutzer zu einer dieser neuen bösartigen Domänen führen, um Mobile-Banking Nutzer zu ködern.


Anzeige

Die Phishing-Seiten sind recht ähnlich aufgebaut. Die Benutzer werden zunächst nach dem Standort ihrer Bank oder deren BLZ-Bankleitzahl,  und dann nach dem entsprechenden Benutzernamen und der PIN gefragt. Sobald diese Informationen eingegeben wurden, wird der Benutzer auf einer Ladeseite aufgefordert, auf die Bestätigung zu warten, bevor die Anmeldeseite erneut angezeigt wird, diesmal mit der Warnung, dass die Anmeldedaten falsch sind – eine übliche Phishing-Taktik.

Spätestens ab diesem Zeitpunkt haben die Phisher die Anmeldedaten des Bankkunden. Bereits mit diesen Daten kann ziemliches Unheil angerichtet werden, wenn die Bankverbindung für Verträge oder Bestellungen angegeben wird. Aber es geht noch mehr – wenn auch Transaktionen in der Regel durch einen Einmalcode autorisiert werden müssen. Aber mir ist die Tage aufgefallen, dass meine Sparkasse Überweisungen bis 30 Euro nicht mehr durch einen TAN abgesichert haben will (was sich aber abschalten lässt). Hier könnten Betrüger also Überweisungen tätigen, bis die Sicherheitsmechanismen der Bank anschlagen. Keine guten Aussichten.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte

Artikel:
Verstärkte Phishing-Kampagnen auf Bankkunden (Okt./Nov. 2021) – Teil 1
Unterm Radar: Gefahr durch Smartphones und Unachtsamkeit (Okt./Nov. 2021) – Teil 2
Festes SA SQL-Passwort bei windata 9-Banking-Software
AVM warnt vor Phishing-Mails mit FRITZ!Box-Anrufbeantworternachricht
Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
Phishing per Signal-Messenger App?
Vorsicht: Phishing-Mail zielt auf Comdirect-Bankkunden
Vorsicht: Phishing-Mail zielt auf Sparkassenkunden
Google Forms & Telegram für Phishing-Angriffe genutztAchtung: Phishing/Malware-Verbreitung über Google-Forms


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen

  1. Wil Ballerstedt sagt:

    Es gibt also Menschen, die es bis heute nicht gelernt haben, dass jedes Finanzinstitut in seinen eigenen Mails immer darauf hinweist, niemals und wirklich nicht, auf irgendwelche Einlogbuttons zu klicken, die in den empfangenen Mails mitgeliefert werden?

    Gibt es eine statistische Erhebung über Altersgruppen? Jugendliche, die so brutal hip sind und Banksachen nur noch digital machen oder Senioren +++, die bis heute ihrem Wählscheibentelefon hinterhertrauern?

    Für letztere kann ich noch Mitleid haben. Heute ist die Entwicklung so schnell geworden, Wahnsinn. Aber bei unseren frisch gebackenen Abiturienten hörts bei mir auf.

    • Bernd Bachmann sagt:

      Man muss einfach akzeptieren, dass es viele Menschen gibt, die unabhängig von Alter und Ausbildungsstand keinerlei IT-Affinität und/oder Gespür für IT-Sicherheit haben. Sicherheitsmechanismen müssen so angelegt sein, dass sie trotzdem funktionieren.

      Gerade gestern erst zufällig im Bekanntenkreis erlebt: Bekannte erhält eine Email mit .docx-Anhang. Virenscanner weist darauf hin, dass dieses Dokument Makros enthält und fragt, ob es diese entfernen soll. Bekannte klickt ohne zu überlegen auf "nein", öffnet das Dokument und klickt auch gleich noch auf "Enable content" (oder wie das heisst). Und hat überhaupt nicht verstanden, dass ich daraufhin ziemlich böse geworden bin.

      Besagte Bekannte ist 50 Jahre jung, hat einen Master-Abschluss, spricht 5 Srachen fliessend und verdient in ihrem Beruf deutlich mehr als ich.

      • Triceratops sagt:

        Nun ja was ihre Bekannte da gemacht hat, ist eher Naivität und Gutgläubigkeit (Meiner Meinung nach). Wenn man auf so was reinfällt, hat das im grunde nichts mit dem Ausbildungsstand zu tun. Sondern eher mit der Fehlenden auseinandersetzung mit Computer und Internet. Die meisten Menschen setzen sich nicht mit Computer und Internet auseinander und konsumieren nur. Wenn sich mehr Menschen intensiver mit Computer und Internet auseinander setzen würden, hätten es Kriminelle nicht so leicht (Also sich mehr über die Gefahren im Internet informieren). Solange die Mehrheit aber Computer und Internet nur konsumieren, und sich nicht damit auseinander setzen werden Kriminelle es weiterhin recht leicht haben, bei Privatnutzern.

      • Norbert sagt:

        In meinen Augen ein DAU. Manchen Leuten ist beim besten Willen nicht zu helfen.

        • Bernd Bachmann sagt:

          Triceratops / Norbert: Ja, dem stimme ich zu. Wobei es "konsumieren" hier eigentlich nicht trifft; sie arbeitet damit. Aber eben auch nicht mehr als das.

          Man muss nur einfach realistisch sein: Die normale Rechtsanwältin, Ärztin, Diplomatin, Fotografin oder Schriftstellerin *weiss nicht*, was ein Word-Makro ist, und kommt gar nicht auf die Idee, dass es überhaupt möglich sein könnte, dass sie sich über das Programm, mit dem sie ihre Texte schreibt — und sonst nichts — Schadsoftware auf den Rechner holen kann.

          Und irgendwie, finde ich, hat sie damit sogar recht: Das sollte tatsächlich nicht möglich sein.

          (Zur Ehrenrettung meiner Bekannten sollte ich noch ergänzen: Es handelte sich um eine von ihr erwartete Email eines langjährigen Geschäftspartners mit einem gleichfalls von ihr erwarteten Dokument.)

          • Triceratops sagt:

            "(Zur Ehrenrettung meiner Bekannten sollte ich noch ergänzen: Es handelte sich um eine von ihr erwartete Email eines langjährigen Geschäftspartners mit einem gleichfalls von ihr erwarteten Dokument.)"

            Achso. Dachte ihre Bekannte hätte jetzt einen anhang Unbekannten ursprungs geöffnet.

            "Und irgendwie, finde ich, hat sie damit sogar recht: Das sollte tatsächlich nicht möglich sein."

            Nun ja solange Software von Menschen programmiert wird, wird es immer Schwachstellen geben denn Menschen machen fehler hin und wieder.

            "Man muss nur einfach realistisch sein: Die normale Rechtsanwältin, Ärztin, Diplomatin, Fotografin oder Schriftstellerin *weiss nicht*, was ein Word-Makro ist, und kommt gar nicht auf die Idee, dass es überhaupt möglich sein könnte, dass sie sich über das Programm, mit dem sie ihre Texte schreibt — und sonst nichts — Schadsoftware auf den Rechner holen kann."

            Das mag ja sein, aber sich über gefahren im Internet zu informieren kann manches verhindern (Datenklau, PC Manipulation etc.).

      • Zweifler sagt:

        @Bernd Bachmann

        "Gerade gestern erst zufällig im Bekanntenkreis erlebt: Bekannte erhält eine Email mit .docx-Anhang. Virenscanner weist darauf hin, dass dieses Dokument Makros enthält…"

        Hast du dir diese technisch unmögliche Konstellation selbst ausgedacht oder von Freund eines Freundes erzählt bekommen?

  2. Andreas W. sagt:

    Allein die Mailadresse in der vermeintlichen Sparkassenmail zeigt, dass da was oberfaul ist.

  3. Rene sagt:

    Leider habe ich keinen in meinem Bekanntenkreis, der noch ein Sparkassenkonto hat.

    Aber angesichts dieser Situation könnte sich doch die Sparkassen ran setzen und die aktuellen Sicherheitsfunktionen umzusetzen.

    Ich muss mich z.B. bevor ich mich einloggen kann mit einem externen Gerät und mit einer PIN autorisieren. Dann bekomme ich eine Push Nachricht auf meinem Smartphone, was ich mit meinem Fingerabdruck bestätigen muss und dann kann ich überhaupt erst mich einloggen.

    Okay, wer nicht einmal erkennt, das die E-Mailadresse höchst verdächtig ist…
    Stimme ja, einige E-Mailprogramme zeigen ja keine E-Mailadresse an sondern nur den Namen.
    Also doch alle deutsche regelmäßig zum Computer Unterricht schicken.

  4. Luzifer sagt:

    Und auch hier gilt: Wenn schon, dann logge ich mich direkt in mein Bankkonto ein und bekomme da wenn die Info echt ist auch alles angezigt! Niemals nie direkt aus einer eMail heraus, nicht als Link und nicht als QR Code! So schwer ist das doch nicht!
    Sollte Ende 2021 auch der letzte lobotomierte HilliBilly kapiert haben.

  5. Heinrich sagt:

    Es gibt eine grosse Anzahl von hochbetagten Senioren und sonstigen technisch komplett unbedarften Menschen, die keinen Unterschied zwischen echter oder unechter eMail, Link oder QR Code erkennen können.

    Die sind froh, dass das irgendwie funktioniert, was ihnen die Banken als Onlineauftritt zumuten, seit ihre Zweigstelle um die Ecke leider geschlossen wurde.

    Dass man sich mit einem QR Code ausweisen kann, haben viele der Senioren und sonstigen technisch unbedarften Menschen jetzt durch Corona gelernt.

    Sie verstehen in keinster Weise, was da technisch passiert, nur "das mit diesem Muster ist jetzt eben der Weg um irgendwo reinzukommen".

    Daher ist die Phishing Branche folgerichtig auf den QR Code Zug aufgesprungen.

    Sozusagen durch aber nicht mit Corona reingefallen.

  6. Mance sagt:

    @Überweisungen bis 30 Euro nicht mehr durch einen TAN abgesichert haben will (was sich aber abschalten lässt)

    Nicht unbedingt. Bei meiner VoBa kann ich zwar das Tageslimit selber ändern; diesen TAN-frei Betrag mußte ich aber durch die Banker auf Null setzen lassen, was aber nach einem kurzen Gespräch schnell erledigt war.

Schreibe einen Kommentar zu A. Nonym Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.