Ich erhalte seit Tagen mal wieder verstärkt Phishing-Mails, weil der 1&1-SPAM-Filter nicht funktioniert. In einer Mitteilung der Postbank wird mir mitgeteilt, dass ich meine "personlichen PostBank Daten bis heute nicht bestatigt habe" und es wird eine Sperre des Kontos angedroht. Das Ganze ist aber eine plumpe Phishing-Mail, die die Zugangsdaten abfischen möchte. Daher eine kurze Warnung an Kunden der Postbank, nicht das jemand darauf hereinfällt – auch wenn die Stamm-Leserschaft hier eher nicht zur Zielgruppe gehört.
Anzeige
Die Masche ist uralt und bei Sicherheits-affinen Menschen längst bekannt. Die Mails, die mich die Tage im Mail-Eingang erreichten, sind nicht mal gut gemacht. Es heißt darin:
Mittteilung Ihrer Postbank-DE044288.
Wir haben festgestellt, dass Sie Ihre personlichen PostBank Daten bis
heute nicht bestatigt haben.
Um Ihnen weiterhin einen sicheren Service anbieten zu konnen,
ist die Bestatigung Ihrer personlichen Daten notwendig.
Ihr Nutzerkonto wurde temporar gesperrt.
Nach Abschluss der Bestatigung wird Ihr Nutzerkonto
automatisch freigeschaltet.
Die Bestatigung konnen Sie uber den unten ausgefuhrten
Button starten.*ttps://meine.postbank.de/
Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die
Freischaltung nur uber den Postweg moglich. Dabei wird eine
Bearbeitungsgebuhr in Hohe von 79,95Euro fallig, welche wir
anschlieBend von Ihrem Konto abbuchen werden.
Jetzt anmelden
Wir bitten Sie die Unannehmlichkeiten zu entschuldigen und
bitten um Verstandnis.
Mit freundlichen Gruben
Nun ja, der holprige Text ohne Umlaute sollte bereits misstrauisch machen – aber die Androhung einer Bearbeitungsgebühr für die Reaktivierung des temporär gesperrten Kontos in Höhe von 79,95 Euro könnte Mitmenschen schon hibbelig werden lassen. Bevor jemand auf die Jetzt anmelden-Schaltfläche klickt: Lasst es bleiben, das Ganze ist lediglich der Versuch, per Phishing die Zugangsdaten für das Online Postbank-Konto zu erbeuten. Abseits der holprigen Sprache in der Mail, die ohne Name des Kunden zugestellt wird, zeigt der E-Mail-Client auch sofort, dass die Nachricht nicht von der Postbank stammt.
In obigem Screenshot erkennt man im Thunderbird, dass der Absender wohl über eine gefakte E-Mail-Adresse bueso.de segelt. bueso.de steht für eine "Splitter-Partei", die unter "Bürgerrechtsbewegung" mit abgedrehten Forderungen wie "raus aus der Nato" und "Grüner Feudalismus", was immer das heißt, agiert. Zeigt man im Mail-Client auf die Anmeldeschaltfläche, wird in der Fußzeile die Ziel-URL angezeigt. Die zeigt nicht auf die Postbank-Seiten sondern auf einen Amazon AWS-Server, der wohl gekapert wurde.
Ich habe diese Adresse mal bei Virustotal analysieren lassen und war überrascht, dass am 7.6.2022 nur ein Virenscanner von ESET diese URL als Phishing erkennt. Also mein Ratschlag: Die Mail sofort löschen.
2015
Als ich das gelesen (mit all den Umlautfehlern) hatte musste ich sofort hier dran denken:
Dro Chonoson mot dom Kontroboß
:D
Moin,
so eine Mail hatte ich auch schon.
Absender Domain war nur eine andere und der Inhalt etwas anders, ohne eine Bearbeitungsgebühr. :)
Ziel war aber auch Amazon AWS.
War aber nur eine einzige Mail. Seit dem nichts mehr
"Dumme Menschen sind eine nachwachsende Ressource."
Felix von Leitner (Fefe) in seinem Vortrag zu Cryptowährungen, ACATIS Value Konferenz 2022
Ähnliche Mail "Kreditkarte entsperren" mit postbank.de Absender vor knapp 2 Wochen an die dafür lt. Postbank Website [1] vorgesehene E-Mail missbrauch[at]postbank.de weitergeleitet, zurück kam einen Tag später ein allgemeingültiger 0815 Sicherheit wichtig keine Anhänge öffnen blabla Textblock, der Phishing-Website unter einer .de Domain war auch zwei Tage danach weiter online… #neuland
[1] postbank.de/privatkunden/services/kontakt.html -> "Weiterleitung Phishing-Mails an"
Ich bekomme hier täglich auch eine eMail-Adresse Mails der "Sparkasse". Ich habe für Banken und Zahlungsanbieter immer eigene eMail-Konten. Das bietet sich ja an, wenn man eine eigene Domain hat. Somit kann man vorab schon die Spreu vom Weizen trennen und läuft weniger in Gefahr versehentlich doch einmal zu der o.g. Genannten "Ressource" der nachwachsenden Dummen zu gehören.
Im Moment grassieren auch so saublöde eMails für Facebook, wo ein "Haste-nicht-gekannt" deine Seite gemeldet hat. Die Verlinkung des Buttons sagt dann auch alles.
Genauso nervig wie diese "Phisher" sind auch mittlerweile die Anbieter der Plattformen selbst. Regelmäßig kommt eBay oder Google um die Ecke und will geholfen bekommen mein Konto zu schützen! Oder wenn ich mich dann mit einem Browser anmelde den eBay oder Google nicht kennen bekommst Du eine Mail das da auch ja alles in Ordnung ist.
Das ist pure Energie- und Zeitverschwendung!
Die Postbank würde niemals so direkt einen Preis nennen. Bestenfalls ein "kostenpflichtig", oder im modernen Bemeatendeutsch, "entgeltpflichtig" (anstatt "gebührenpflichtig"…)
Insofern könnte man so etwas automatisch aussortieren…
Aber hier liegt es wohl daran, das zum einen der Provider den "Return-Path" nicht validiert hat, und zum anderen das der Client den völlig frei wählbaren "Display Namen" oder "From" dem User vorsetzt.
Bisher habe ich dieses Fehlverhalten eines Clients nur in Outlook gesehen.
Der User ist chancenlos. Zumal MS es dem User sehr sehr schwer macht, eine Spalte mit den "echten" anliefernden "Return-Pfaden" anzulegen…ein Schelm der….
Der Display Name ("From:") war auf
"Standesamt Nordheide "
bzw. "Standesamt@Nordheide.de" gesetzt. Sah für einen 10%-halbwissenden Laien vollkommen korrekt aus. Der "tatsächliche" Absender (Return path) stammte auf dem Datenklau bei Yahoo.
In solchen Fällen ist es immer hilfreich das Wissen aus
https://th-h.de/net/usenet/faqs/headerfaq/
"E-Mail-Header lesen und verstehen" von Thomas Hochstein
anwenden zu können.
Return path ist nicht zwangsläufig der "tatsächliche" Absender. Das ist ein beliebig konfigurierbarer Wert. Könnte genauso gut gummibaeren@bande.hamburg eintragen.
Man *muß* den Quelltext (Header) der Mail lesen und verstehen, um zumindest einen Anhaltspunkt zu bekommen.
Ihr müßt euch unbedingt angewöhnen @ E-Mail mit Aliasen zu arbeiten. Am besten für jeden Anbieter/Dienstleister ein eigenes Alias. Dann könnt ihr bei einem Leak/Diebstahl einfach diesen Alias killen und Ruhe ist.
Derlei Mails habe ich seit Jahren nicht mehr gesehen, verwende aber auch konsequent Aliase. Und bislang mußte ich nur drei davon killen, weil die Unternehmen zu blöd waren ihre Server up-to-date zu halten. Schaden bei mir? Null.