PC-Tipps
Der klassische Phishing-Betrugsversuch
Falls Sie mal wieder eine dieser Bank-Mails erhalten haben und unsicher sind, ob die Sparkasse tatsächlich Ihre PIN-Nummer will - hier habe ich die wichtigsten Kriterien zusammen gestellt, anhand derer Sie den Betrug identifizieren können.
Hier zunächst eine Beispiel-Mail, wie Sie neulich bei mir ankam:
Von : Sparkasse <Lmunsch@vusd.org>
An : Undisclosed recipients:;
Datum : Freitag, 9. August 2013, 13:07
Mailprg.: Microsoft Outlook Express 6.00.2600.0000
Betreff : Sparkasse Bank Wichtige Mitteilung
Sehr geehrter Kunde,
Seit dem 01. juni 2013 arbeiten wir mit einem neuen Sicherheitssystem. Dieses neue System stellt sicher, dass es keinen Missbrauch auf Ihrem Konto geben kann , zb. durch bösartige Software oder einen Virus. Um sicherzustellen, dass Ihr Konto von unserem neuen System geschützt wird, empfehlen wir Ihnen, das sie auf den unterstehenden Link klicken. Bitte geben Sie Ihre Informationen zu überprüfung ein. Sobald Sie dies getan haben, wird Ihr Konto mit der neuen Sicherheits-Software aktualisiert .
klicken Sie hier [Hinweis: Ich habe den Link entfernt, damit er hier keinen Schaden anrichtet. ]
VORSICHT, Nach dem Ausfüllen der angeforderten Informationen werden Sie per Telefon moeglichereise von einem unserer Mitarbeiter kontaktiert, um die Installation abschließen zu koennen. Denken Sie daran, das wir, fuer Ihre Sicherheit und ihren Schutz verpflichtet sind. Vielen Dank für Ihre Zeit und Zusammenarbeit.
Mit freundlichen Grüßen,
Ihr Sparkassen Onlineservice
© 1998-2013. Alle Rechte vorbehalten.
An : Undisclosed recipients:;
Datum : Freitag, 9. August 2013, 13:07
Mailprg.: Microsoft Outlook Express 6.00.2600.0000
Betreff : Sparkasse Bank Wichtige Mitteilung
Sehr geehrter Kunde,
Seit dem 01. juni 2013 arbeiten wir mit einem neuen Sicherheitssystem. Dieses neue System stellt sicher, dass es keinen Missbrauch auf Ihrem Konto geben kann , zb. durch bösartige Software oder einen Virus. Um sicherzustellen, dass Ihr Konto von unserem neuen System geschützt wird, empfehlen wir Ihnen, das sie auf den unterstehenden Link klicken. Bitte geben Sie Ihre Informationen zu überprüfung ein. Sobald Sie dies getan haben, wird Ihr Konto mit der neuen Sicherheits-Software aktualisiert .
klicken Sie hier [Hinweis: Ich habe den Link entfernt, damit er hier keinen Schaden anrichtet. ]
VORSICHT, Nach dem Ausfüllen der angeforderten Informationen werden Sie per Telefon moeglichereise von einem unserer Mitarbeiter kontaktiert, um die Installation abschließen zu koennen. Denken Sie daran, das wir, fuer Ihre Sicherheit und ihren Schutz verpflichtet sind. Vielen Dank für Ihre Zeit und Zusammenarbeit.
Mit freundlichen Grüßen,
Ihr Sparkassen Onlineservice
© 1998-2013. Alle Rechte vorbehalten.
Folgende Kriterien verraten Ihnen, dass es sich um einen Betrugsversuch handelt:
- Keine persönliche Anrede mit Ihrem Namen (nur "Sehr geehrter Kunde").
- Der Link "klicken Sie hier" führt auf die Seite "http:// www. auto-loans-financing-bad-credit.com/lkspar" und nicht auf die Sparkasse. Kontrollieren Sie das, indem Sie ohne zu klicken, mit der Maus über "Klicken Sie hier" schweben. Ihr Mail-Programm zeigt dann irgendwo (beim Thunderbird z.B. links unten) an, wo die echte Ziel-Adresse des Links hin führt.
- Der Absender lautet "Sparkasse <Lmunsch@vusd.org>". "vusd.org" gehört garantiert nicht der Sparkasse. Leider sind Mail-Programme sehr häufig so eingestellt, dass man die Mail-Adresse nicht sieht, sondern in dem Fall nur "Sparkasse". Das ist natürlich gefährlicher Blindflug. Sie sollten Ihr Mail-Programm so einstellen, dass es immer auch die Mail-Adresse sichtbar macht.
- Der Return-Pfad im Mail-Header (s.u.) lautet "<prvs=3933FCE765=lmunsch@visalia.k12.ca.us>" und unterscheidet sich von der Mail-Adresse in allen Teilen und schon gar nicht deutet er auf einen realen Sparkassen-Server hin.
- Die Mail kommt von der IP-Nummer 74.212.226.18. Sie finden diese Nummer in den Metadaten, wenn Sie die unterste Zeile suchen, die mit "Received: from" beginnt. Ich habe die Stelle in den Beispieldaten weiter unten gelb markiert. Laut Ortungsserver sitzt der zugehörige Computer in Ontario/Kalifornien. Sparkassenserver dürften in Deutschland beheimatet sein.
- Die aufgerufene Seite kommt zwar im Sparkassen-Look daher, aber sie ist nicht verschlüsselt (kein https):
- Fast alle Links auf der Seite führen zu "Not Found". Das könnte allerdings bei einer besser gemachten Seite auch anders sein.
- Einige Links zeigen zwar auf "...sparkasse-krefeld.de" sind aber so schlecht gemacht, dass sie auch nicht funktionieren.
- Immerhin erkennt der Firefox-Browser bereits beim Klick auf "Anmelden", dass es sich um einen Betrugsversuch handelt, blockiert den Transfer und schützt Sie so davor, dass Ihre geheimen Bankdaten an die Betrüger gesendet werden. Darauf sollten Sie sich trotzdem lieber nicht verlassen!
Früher konnte man übrigens solche Betrugsmails oft schon an der verheerenden Grammatik und Rechtschreibung erkennen. Doch in der Hinsicht haben die Gauner enorm aufgeholt. Das einzige, was hier auffällt, ist, dass "Juni" klein und "möglicherweise" mit "oe" geschrieben ist und bei "kann, z.B. durch", ein Leerzeichen zu viel drin sitzt.
Bleibt ein Rat, der Sie vor jeglichem Ungemach schützt, selbst, wenn Sie unterm Strich nicht eindeutig sicher sind: Klicken Sie niemals, niemals den Link direkt in einer Mail an, sondern benutzen Sie Ihr selbst gespeichertes Lezezeichen im Browser oder tippen Sie die Sparkassen-Adresse direkt in die Adresszeile Ihres Browsers. Benutzen Sie möglichst auch nicht die Google-Suche, denn theoretisch kann selbst eine Google-Fundstelle zu einer falschen "Sparkasse" führen.
Dies ist der unsichtbare Teil der Mail, der Header oder zu Deutsch, die Kopfdaten. Je nach dem, welches Mail-Programm Sie benutzen, kommen Sie da auf unterschiedliche Weise heran, beim Thunderbird, z.B. mit Strg + U.
Return-path: <prvs=3933FCE765=lmunsch@visalia.k12.ca.us>
Envelope-to: stefan@meisel-edv.de
Delivery-date: Fri, 09 Aug 2013 13:25:05 +0200
Received: from [192.168.1.141] (helo=mailin01.ims-firmen.de)
by m3 with esmtp
(envelope-from <prvs=3933FCE765=lmunsch@visalia.k12.ca.us>)
id 1V7kob-0003cX-Yc
for stefan@meisel-edv.de; Fri, 09 Aug 2013 13:25:05 +0200
Received: from exch-ets-1.vusd.org ([24.104.134.148])
by mailin01.ims-firmen.de with esmtps (TLSv1:AES128-SHA:128)
(envelope-from <prvs=3933FCE765=lmunsch@visalia.k12.ca.us>)
id 1V7kob-0007cK-1a
for stefan@meisel-edv.de; Fri, 09 Aug 2013 13:25:05 +0200
Received: from EXCH-HTS-1.vusd (206.78.7.158) by exch-ets-1.vusd.org
(206.78.7.157) with Microsoft SMTP Server (TLS) id 8.3.298.1; Fri, 9 Aug 2013
04:20:42 -0700
Received: from User (74.212.226.18) by EXCH-HTS-1.vusd (206.78.7.158) with
Microsoft SMTP Server id 8.3.298.1; Fri, 9 Aug 2013 04:20:40 -0700
From: Sparkasse <Lmunsch@vusd.org>
Subject: Sparkasse Bank Wichtige Mitteilung
Date: Fri, 9 Aug 2013 04:07:26 -0700
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <0430cc36-ef71-4f0a-b104-2dbbff78ef75@EXCH-HTS-1.vusd>
To: Undisclosedrecipients:
X-Envelope-To: stefan@meisel-edv.de
X-Envelope-From: prvs=3933FCE765=lmunsch@visalia.k12.ca.us
X-IMS-IP: 24.104.134.148
X-CTCH-Spam: Unknown
X-CTCH-VOD: Unknown
X-CTCH-Flags: 0
X-CTCH-RefID: str=0001.0A0C0203.5204D191.00FC:SCFSTAT16651947,ss=1,re=0.680,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
X-IMS-List: None
X-IMS-StoreID: ce7a607a555911dd88f0
Envelope-to: stefan@meisel-edv.de
Delivery-date: Fri, 09 Aug 2013 13:25:05 +0200
Received: from [192.168.1.141] (helo=mailin01.ims-firmen.de)
by m3 with esmtp
(envelope-from <prvs=3933FCE765=lmunsch@visalia.k12.ca.us>)
id 1V7kob-0003cX-Yc
for stefan@meisel-edv.de; Fri, 09 Aug 2013 13:25:05 +0200
Received: from exch-ets-1.vusd.org ([24.104.134.148])
by mailin01.ims-firmen.de with esmtps (TLSv1:AES128-SHA:128)
(envelope-from <prvs=3933FCE765=lmunsch@visalia.k12.ca.us>)
id 1V7kob-0007cK-1a
for stefan@meisel-edv.de; Fri, 09 Aug 2013 13:25:05 +0200
Received: from EXCH-HTS-1.vusd (206.78.7.158) by exch-ets-1.vusd.org
(206.78.7.157) with Microsoft SMTP Server (TLS) id 8.3.298.1; Fri, 9 Aug 2013
04:20:42 -0700
Received: from User (74.212.226.18) by EXCH-HTS-1.vusd (206.78.7.158) with
Microsoft SMTP Server id 8.3.298.1; Fri, 9 Aug 2013 04:20:40 -0700
From: Sparkasse <Lmunsch@vusd.org>
Subject: Sparkasse Bank Wichtige Mitteilung
Date: Fri, 9 Aug 2013 04:07:26 -0700
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <0430cc36-ef71-4f0a-b104-2dbbff78ef75@EXCH-HTS-1.vusd>
To: Undisclosedrecipients:
X-Envelope-To: stefan@meisel-edv.de
X-Envelope-From: prvs=3933FCE765=lmunsch@visalia.k12.ca.us
X-IMS-IP: 24.104.134.148
X-CTCH-Spam: Unknown
X-CTCH-VOD: Unknown
X-CTCH-Flags: 0
X-CTCH-RefID: str=0001.0A0C0203.5204D191.00FC:SCFSTAT16651947,ss=1,re=0.680,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
X-IMS-List: None
X-IMS-StoreID: ce7a607a555911dd88f0
Bitte lesen Sie auch mein beiden anderen Artikel zu diesem Thema:
Aug. 2013