Thema: Postbank/DHL Phishing ...

[SiLæncer]

Ende letzter Woche waren Postbank-Kunden wieder Ziel von Phishing-Mails -- diesmal sollten Anwender ihre PIN und TAN allerdings per Fax übermitteln. Nicht zuletzt wegen dieses Vorfalls will die Postbank im Kampf gegen Phishing weitere Maßnahmen ergreifen. So sollen Online-Überweisungen zukünftig auf 3000 Euro begrenzt werden, wie es bereits beim Telefon-Banking seit Jahren der Fall ist. Das Limit würde nach Meinung der Postbank Betrugsversuche unattraktiver machen. Zusätzlich soll ab kommenden Sommer das TAN-Verfahren verbessert werden. Eine erforderliche TAN wird dann nicht mehr vom Kunden aus der vorliegenden Liste ausgewählt, sondern per Zufallsprinzip von der Postbank abgefragt.

Selbst wenn ein Phisher in den Besitz einer unverbrauchten TAN gelangt, kann er damit keine Überweisung vornehmen, da sie nicht zu seiner Session passt. Allerdings bietet das keinen Schutz, falls der Kunde seine komplette TAN-Liste etwa per Fax an den Phisher sendet. Alternativ bietet die Postbank seit einem Jahr auch bereits das mTAN-Verfahren (mobile TAN) an. Dabei sendet ein Server eine nur kurzzeitig gültige Transaktionsnummer per SMS an das Kundenhandy. Hier müsste ein Angreifer schon sehr schnell reagieren, um erfolgreich zu sein.

Quelle : www.heise.de

[SiLæncer]

Erneut versuchen anonyme Mail-Versender Pin und TAN von arglosen Kunden zu erlangen. Das ist schon die zweite Attacke in dieser Woche.

Die in schlechtem Deutsch und ohne Umlaute verschickte HTML-Mail versucht Postbank-Kunden zu überreden, auf einer Webseite die Daten einzugeben. Angeblich wolle man "Missetaeter" ermitteln, die "Angaben aus den TAN-Tabellen" verwenden. Dazu solle der Kunde zwei TAN-Nummern auf der Webseite eintippen, statt diese selbst zu verwenden. Sollten die eingetippten TAN-Nummern dennoch zum Einsatz kommen, wäre das eine Bestätigung für einen Missbrauch und das Konto würde gesperrt.

Ein Klick auf die Schaltfläche "Form ausfuellen" führt auf eine bislang noch erreichbare angebliche Postbank-Webseite. Sollte jemand der gefälschten Aufforderung tatsächlich nachkommen, kann er wohl davon ausgehen, dass die TAN tatsächlich innerhalb kurzer Zeit missbraucht wird -- vom Absender der Mail.

Bank-Kunden sollten sich grundsätzlich nur direkt auf der Bank-Homepage einwählen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder Bookmark benutzen.

Quelle und Links : http://www.heise.de/newsticker/meldung/59370

[Warpi]

Die z. B. :
Habe ich einem Postfach auf unserem Webserver gefunden.
(Im Spamordner )

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Tabellen verwenden. Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI  FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.

Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.

Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.

Mit freundlichen Gruessen, Bankverwaltung

[Jürgen]

[Ironie an]
Das entspricht genau meiner folgenden hypnotischen Anweisung:

Jeder, der dies liest, soll sofort all' sein Geld auf's folgende Konto überweisen:
**** ** ***
bei BLZ
*** *** **
und dann sofort seine Festplatte formatieren
und dann alles vergessen  
 

[/size]Ich kann Euren Schotter bestimmt viel besser verschwenden als Ihr alle
Für gutes Kharma o.ä. kann ich aber nicht garantieren
Spendenquittungen gibt's nicht.[Ironie aus]
NOCHMAL GANZ LANGSAM GEPOSTET; FÜR DIE "BIN'SCH SCHON DRIN, ÄH" FRAKTION:
TANs sind nur für den Geldtransfer, wenn man die weggibt, geht das Geld mit...

[SiLæncer]

Mit einer angeblichen neuen Sicherheitsvorkehrung wollen Phisher Postbankkunden hereinlegen und zur Eingabe ihrer Zugangsdaten einschließlich PIN und TAN bewegen. Auf der dazu erstellten Web-Seite mit dem unverfänglichen Namen www.post-security-update.com behaupten die Betrüger, man die Postbank wolle zukünftig bei "verdächtigen Transaktionen" eine zusätzliche Geheimfrage stellen, ohne deren korrekte Beantwortung das Konto vorsichtshalber vorläufig gesperrt werde. Die Frage und die dazugehörige Antwort darf der Kunde dann selbst festlegen. Um sie zu aktivieren muss er seine PIN und eine TAN eingeben. Diese landen nach der Eingabe natürlich in den Händen der Kriminellen.

Stutzig machen könnte, dass die Seite und die abgefragten Daten nicht verschlüsselt übertragen werden; der Text selbst ist zwar äußerst ungelenk ("...wegen der Sicherheit von unseren Kunden...", "...Diebstahlversuche der Geldmittel von den Bankkonten...", "Um das System funktionieren zu lassen..."), aber ohne wirklich entscheidende Fehler. Vorher festgelegte Fragen werden tatsächlich von vielen Internet-Diensten eingesetzt, damit sich Anwender beispielsweise ein vergessenes Passwort zusenden lassen können; Berichte, dass die Postbank demnächst tatsächlich zusätzliche Sicherungsmaßnahmen gegen Phishing einführen möchte, tragen weiter zur Glaubwürdigkeit bei.

Zu Risiken und Nebenwirkungen der PIN und TAN-Eingabe im Internet beachten Sie die üblichen Sicherheitsmaßnahmen und fragen sie Ihren gesunden Menschenverstand oder einen Experten.

Quelle und Links : http://www.heise.de/newsticker/meldung/61003

[SiLæncer]

Die jüngste Phishing-Welle richtet sich mit den gleichen Mail-Texten wie schon zuvor an VR-Kunden nunmehr an Kunden der Postbank. Der Text enthält dieselben grammatikalischen Schwächen wie die Version der letzten Woche.

Oberflächlich sieht die Seite, auf welche die E-Mail verweist, der echten Postbank-Seite verblüffend ähnlich. Die lange URL könnte einem tatsächlich vorgaukeln, auf einer Postbank-Seite zu sein, jedoch machen die Texte auf der gefälschten Seite einen maschinell übersetzten Eindruck:

"Die PostBank macht sich Sorgen wegen der Sicherheit von unseren Kunden, darum entwickeln wir ständig neue Sicherheitsmethoden. In der letzten Zeit wurden die Diebstahlversuche der Geldmittel von den Bankkonten regelmäßiger geworden. Das System der Anwendung der TAN-Liste hat sich nicht in vollem Maße bewährt. Die Missetäter haben gelernt mit dieser Schutzart umzugehen."

Webseite fürs Postbank-Phishing

 Mit einem gerüttelt Maß an Menschenverstand sollte hierauf also niemand hereinfallen. Es fehlt auch der sichere https://-Zugriff und somit die "Verschlüsselungsanzeige" in den Web-Browsern. Zurzeit ist die Phishing-Seite noch erreichbar.

Wer auf Nummer sicher gehen will, sollte also seine hosts-Datei im Verzeichnis c:\windows\system32\drivers\etc (für Windows 200 und XP) überprüfen und mit Schreibschutz versehen, die Internetseite seiner Bank nur über direkte Eingabe der Adresse beziehungsweise durch Bookmarks aufrufen und beachten, dass Banken laut eigenem Bekunden niemals die Passwörter oder PINs und TANs per E-Mail anfordern würden.

Quelle und Links : http://www.heise.de/newsticker/meldung/61365

[SiLæncer]

Bereits in der letzten Woche war ein Anstieg von Phishing-Mails zu beobachten. Am Wochenende erhöhten die Phisher offenbar die Zahl der versandten Mails nochmals. In Deutschland sind derzeit vor allem Kunden der Postbank Zielscheibe der Betrüger.

Die Phishing-Mails enthalten Links zu nachgeahmten oder kopierten Web-Seiten der Postbank. Dafür werden oft Domain-Namen registriert, die dem Namen der jeweiligen Bank ähneln. In den letzten Tagen sind vor allem diese Domains für Phishing-Angriffe verwendet worden:

postebanking.net
postepank.info
postauth.info
postbankservice.com

Die gerade aktiven falschen Web-Seiten werden durch häufige Änderungen der DNS-Einträge auf immer andere IP-Adressen umgelenkt, damit sie nicht so schnell ermittelt und geschlossen werden können. Die IP-Adressen gehören oft zu normalen PCs, die durch Trojanische Pferde ferngesteuert werden. Häufig zeigen die Links in den Mails auch direkt auf eine IP-Adresse, nach einem Schema wie zum Beispiel "http:///123.123.123.123/abcdef/.../login.htm".

Gerne wird auch ausgenutzt, dass die Adresszeile des Browsers nur eine begrenzte sichtbare Länge hat. So erscheint dann eine Web-Adresse, die auf den ersten Blick legitim erscheinen mag, zum Beispiel: "http://www.meinebank.de.irgend.eine.sub.domain.von.backupserver111.com/login/". Eine weitere Masche sind Browser-Fenster, die per Javascript aus der Mail geöffnet werden und keine Adresszeile enthalten.

Die meisten Phishing-Sites können innerhalb von ein bis zwei Tagen geschlossen werden, manchmal dauert es auch länger. Gründe dafür sind neben den unterschiedlichen Zeitzonen auch Kommunikationsprobleme mit den betroffenen Providern oder deren mangelnde Kooperation.

Phishing-Mails sind leicht daran zu erkennen, dass keine deutsche Bank ihren Kunden Mails sendet, in denen sie sie zur Eingabe ihrer Zugangsdaten auf einer in der Mail verlinkten Website auffordert.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/120715/index.html

[SiLæncer]

Nicht nur bei Privatanwendern, auch in Unternehmen tauchen immer wieder Phishing-Mails auf. So wie aktuell ein weiterer Versuch, Postbank-Kunden sensible Daten zu entlocken.

"Information schützt" heißt es so schön und tatsächlich kann nicht oft genug vor Betrugsversuchen per Mail gewarnt werden. Aktuell sind in den Mail-Fächern der PC-WELT wieder einmal Phishing-Mails aufgeschlagen, die sich an Postbank-Kunden richteen - Grund genug, wieder einmal davor zu warnen.

Die Mail kommt mit dem Postbank-Logo und folgendem (unkorrigierten) Text:

" Sehr geehrter Kunde,

- Unser neues Schutzystem kann Ihnen helfen, öftere betrügerischen Transaktionen zu vermeiden und Ihre Mittel sicher zu halten.

- Im Zusammenhang mit der technischen Modernisierung empfehlen wir Ihnen eine wiederholte Aktivierung von Ihrem Bankkonto durchzumachen.

Dafür müssen Sie unser Link verfolgen: Login

Wir schätzen Ihr Business ein. Für uns ist eine große Ehre, Sie zu bedienen.
Die Abteilung mit der Arbeit für die Kunden von der Deutsche Postbank AG

Dieses E-Mail ist nur für die Mitteilung. Damit haben Sie keine Antwort zu machen.

msg-id: 270798"

Bereits die offensichtlichen sprachlichen Mängel sollten bei jedem Anwender die Alarmglocken schrillen lassen. Wir raten jedem Anwender, nicht dem Link zu folgen, sondern diese und ähnliche Mails ungelesen zu löschen. Des Weiteren gilt: Banken oder Onlineshops fragen niemals per Mail nach persönlichen Informationen wie Bankdaten, Kreditkartennummern oder Passwörtern. Sind Sie sich nicht sicher, ob eine Mail tatsächlich von dem vorgeblichen Absender stammt, rufen Sie diesen an und fragen Sie nach.

Die Webseite, auf die die Anwender geleitet werden sollten, ist mittlerweile anscheinend offline genommen worden.

Quelle : www.pcwelt.de

[SiLæncer]

Die Postbank versieht E-Mails an ihre Kunden mit einer fortgeschrittenen elektronischen Signatur. Anhand der Signatur kann der Kunde nachprüfen, ob eine Mail tatsächlich von der Bank stammt, und betrügerische Phishing-Mails entlarven. Die Postbank ist nach eigenen Angaben die erste Großbank, die E-Mails fälschungssicher signiert. Sie beruft sich dabei auf Empfehlungen des Bundesamts für die Sicherheit in der Informationstechnologie (BSI) und der c't.

Die Postbank geht damit einen mutigen Schritt, da der Umgang mit signierten Mails nicht immer problemlos ist. Längst nicht alle E-Mail-Clients ermöglichen die einfache Überprüfung der Signatur auf Gültigkeit, gleiches gilt für E-Mail-Dienste im Web. Ohne eine sicher Überprüfung bietet die Signatur jedoch keinerlei Schutz. Einige E-Mail-Programme verwirren den Anwender zudem durch Fehlermeldungen, obwohl die Signatur gültig ist. Auf ihrer Website klärt die Postbank über mögliche Probleme auf.

Elektronische Signaturen sind kein Rundumschutz gegen Phishing, sondern nur ein Sicherheitsbaustein, ebenso wie iTAN- oder mTAN-Verfahren. Darüber hinaus muss der Anwender seinen PC durch Maßnahmen wie regelmäßige Updates und die Verwendung von Virenscannern vor Angriffen aus dem Netz schützen.

Quelle und Links : http://www.heise.de/security/news/meldung/71379

[SiLæncer]

Die Postbank hat eine Funktion seiner Homepage umgebaut, die Datenphishern hätte in die Hände spielen können. So war es lange Zeit möglich, Surfer mit einem präparierten Link der Form

http://www.postbank.de/std/funcs/external.html?d=verschleierte Adresse

über die Postbank-Homepage auf eine Phishing-Site zu führen. Die auf der Postbank-Site implementierte Redirect-Funktion überprüfte übergebene Parameter nicht, sondern leitete an jede übergebene Adresse weiter.

Mit einer geschickt verschleierten Weiterleitungsadresse hätte ein Adressat eine Phishing-Mail zumindest an den enthaltenen URLs nicht sofort erkannt. Die wenigsten Internet-Nutzer dürften anhand der URL durchschauen, dass sie unter der Adresse

http://www.postbank.de/std/funcs/external.html?d=http%3A%2F%2F193%2e99%2e144%2e80

nicht bei der Postbank landeten, sondern bei heise online.

Mittlerweile hat die Postbank die Weiterleitungs-Funktion auf der Homepage so umgebaut, dass sie mittels einer Whitelist prüft, ob der folgende Hyperlink erlaubt oder verboten ist. Sollte der Hyperlink nicht von der Postbank autorisiert sein, wird der Kunde auf eine Hinweisseite geleitet, die ihn über die Gefahren belehrt.

heise online sind keine Betrugsfälle bekannt, die die Lücke ausgenutzt haben. Dass die Postbank dieses potenzielle Problem dennoch beseitigt hat, ist jedenfall zu begrüßen. Es hätte aber schneller gehen können: Bereits im Januar hatte ein Leser das Problem bemerkt, worüber heise online die Bank umgehend informiert hatte.

Quelle : www.heise.de

[SiLæncer]

Millionenfach werden seit gestern Abend gefährliche E-Mails an deutsche Internetnutzer geschickt. In den Nachrichten wird damit geworben, dass sich Kunden von DHL und Douglas angeblich über Prämien freuen können, wenn sie sich auf einer Internetseite mit ihren Kundendaten für die DHL-Packstation anmelden. Doch Vorsicht: was auf den ersten Blick seriös erscheint, ist nicht mehr als eine hinterlistige Phishing-Attacke.
   
Die in der Nacht zu Samstag massenhaft verschickte E-Mail mit variierenden Betreffzeilen wie Douglas und DHL verschenken Praemien oder Exclusive Praemien für Packstation Kunden wurde im HTML-Format verschickt und mit Logos von Douglas und DHL versehen. Ungeübte Internetnutzer sollen auf diese Weise dazu verleitet werden, auf den vermeintlich sicheren Link zu klicken, der in die Nachricht integriert wurde. Wörtlich heißt es in der E-Mail:

    Sehr geehrte Damen und Herren,

    DHL und Douglas verschenken nur fuer kurze Zeit exklusive Praemien fuer
    Packstation Kunden.

    jetzt gleich anmelden und Praemie bekommen

    w+w.dhl-douglas.com


    Mit freundlichen Gruessen Ihr Douglas und DHL team.

Wer nun auf den hinterlegten Link klickt, wird auf eine Internetseite umgeleitet, die ebenfalls den Anschein erweckt, seriös zu sein. Stutzig sollte allerdings die mangelhafte Rechtschreibung machen. "gleich Anmelden und Pämie Kassieren" heißt es auf der Seite. Wer tatsächlich auf "Anmelden" klickt, muss in einem nächsten Schritt persönliche Daten in ein Formular eintragen, bevor schließlich die Kundendaten für die Packstation abgefragt werden - samt PIN. Spätestens an dieser Stelle sollten die Alarmglocken schrillen.

Spätestens bei der Eingabe von einer PIN sollte jeder Internetsurfer Vorsicht walten lassen.

Dass niemand seine persönlichen Daten in die Formulare eintragen sollte, zeigt auch ein Blick auf die Registrierungsdaten für die Domain dhl-douglas.com, die auf einen primitiven Streich schließen lassen. Demnach wurde die Adresse auf einen gewissen "Alfred M Arschsaft" registriert, der in der "Pissmaulstreet" in "f***ingham" wohnt. Weitere Worte dürften sich in diesem Zusammenhang erübrigen.

Quelle : www.onlinekosten.de

[Snoop]

Yupp - hab ich heute auch schon bekommen. Ich wäre fast darauf reingefallen, weil ich DHL-Kunde bin, aber ich habe glücklicherweise, bevor ich auf den Link geklickt habe, mal kurz "DHL und Douglas" gegoogelt.  Kurze Zeit später habe ich dann ein zweites Exemplar der Email bekommen und war ganz sicher, dass es ein Phishing-Versuch war.

[ritschibie]

Ging mir ebenso, war aber schon im 'spam' gelandet. Insgesamt ist mein Verhältnis 2x Spam 1x Regulär. Da war im Sommer noch mehr Spamanteil.

[Snoop]

Ich bin ziemlich genau bei 3:1 angekommen 

[SiLæncer]

Die neueste Serie von Packstation-Phishing-Mails bedient sich eines vertrauenerweckenden Domain-Namens, um die Empfänger zur Eingabe Ihrer Packstation-Daten zu bewegen. Vorangegangene Betrugsversuche waren leicht an merkwürdigen Domainnamen wie packstati0n.de (mit der Ziffer 0 statt dem Buchstaben o) oder packstation-service.1x.to zu erkennen, doch die heise Security vorliegenden aktuellen Mails verweisen auf die Domain dhl-packstation.info.

Der Text E-Mail lautet wie auch schon in vorangegangenen Phishing-Serien wenig überzeugend und fehlerhaft: "Wir bitten Sie ihre PACKSTATION zu verifizieren da wir momentan Probleme mit unseren Servern haben." Folgt man jedoch dem Link, gelangt man auf eine täuschend echt wirkende Webseite mit einer Eingabemaske für die Zugangsdaten, die jegliche Eingabe nach dem Abschicken mit einer Erfolgsmeldung quittiert und an die Hintermänner weiterleitet.

Wichtiges Merkmal einer echten Packstation-Login-Seite ist die verschlüsselte Verbindung, erkennbar in den meisten Browsern am geschlossenen Schlosssymbol in der rechten unteren Fensterecke. Allerdings ist der Zertifikatherausgeber "Deutsche Post World Net" einigen Browsern unbekannt. So kommt es etwa mit Safari unter OS X sowie dem Konqueror unter Linux selbst auf der echten Paketstation-Seite zu Fehlermeldungen wegen nicht vertrauenswürdiger Zertifikate.

Entlarvend: Die Phishing-Seite gibt sich auch mit Phantasiedaten zufrieden

In dem Gestrüpp aus "echten" Packstation-Domains kann man leicht den Überblick verlieren. Die offiziellen Packstation-Dienste sind nicht nur über die Domain dhl.de erreichbar, sondern auch über packstation.de und paketundpunkt.de. Eine weitere Domain wie dhl-packstation.info würde nur den wenigsten Anwendern verdächtig erscheinen.

Quelle : www.heise.de