In den letzten Monaten verzeichnete das Eleven Research-Team erstaunlich wenige E-Mails mit Betrugsabsichten, wie beispielsweise Phishing. Beliebte Ziele der Betrüger waren bisher bekannte Banken, Herausgeber von Kreditkarten oder der Online Zahlungsdienstleister PayPal. Um die Kunden in die Falle zu locken, wird meist eine E-Mail verschickt, die mit der Sperrung des Kontos droht oder über vermeintliche Wartungsarbeiten informiert. Gemeinsam ist den E-Mails, dass die Kunden ihre Daten erneut eingeben sollen, wenn sie den Service weiter nutzen wollen. Zu diesen Daten gehören meist der volle Name, die Kontonummer und auch PINs und TANs (sofern noch genutzt). Bei Kreditkarten wird häufig nach dem 3D-Secure-Code (Verified by Visa/ Mastercard) gefragt. All diese E-Mails traten in den letzten Wochen deutlich seltener auf. Sollten die Phisher schon im Sommerurlaub sein? Leider nicht.
Phishing-Links nicht mehr erreichbar
Das von uns untersuchte Beispiel zielt auf Kunden einer in Deutschland eher unbekannten Bank.
- Phishing-E-Mail mit angehängtem HTML-Formular
In der E-Mail wird relativ unspezifisch von Ungereimtheiten gesprochen. Was auch immer darunter zu verstehen ist, um das Konto weiter nutzen zu können, solle man das angehängte HTML-Formular ausfüllen. Die E-Mail fällt durch fehlerhaftes Encoding auf, das heißt, dass die deutschen Umlaute und ß nicht korrekt dargestellt werden. Ein Grund dafür kann sein, dass beim Ersteller die entsprechenden Zeichen nicht vorhanden waren. Es ist aber auch möglich, dass falsche Einstellungen im E-Mail-Programm oder Browser des Nutzers die richtige Anzeige verhindern.
Das angehängte Formular sendet die Daten an einen Server in Russland. In einem Unterverzeichnis dieses Servers befindet sich eine Datei, die einfach mit a.php bezeichnet ist. Diese ist dann für die Weiterverarbeitung der eingegebenen Daten zuständig. Die gute Nachricht: Die Seite ist nicht mehr erreichbar. Und das ist ein Phänomen, welches das Eleven Research-Team zunehmend beobachtet. Links aus nur wenigen Stunden alten Spam-E-Mails sind bereits nicht mehr erreichbar. Und zwar, weil sie durch die Hoster gesperrt wurden. Dies ist eindeutig an der Fehlerseite des Hosters erkennbar. Soweit einschätzbar betrifft dies Hoster in allen Ländern. Möglicherweise sind diese schnellen Abschaltungen zu einem Problem für die Phisher geworden, was nun zunächst zu einem Rückgang der Phishing-E-Mails führt.
Generelles zum Thema Phishing-Mails
Immer wieder heißt es, Phishing-E-Mails wären an Rechtschreibfehlern, Typos, falschem Encoding und automatischer Übersetzung leicht zu erkennen. Dies stimmt nur bedingt. Im vorliegenden Fall sind die Phisher wieder über die deutschen Umlaute gestolpert. Das Eleven Research-Team fing jedoch in der Vergangenheit auch E-Mails auf, deren Text fehlerfrei und in perfektem Deutsch war. Aber zunehmend wird nicht mehr so sorgfältig kommuniziert wie noch vor rund zehn Jahren. Hastig getippte E-Mails mit Flüchtigkeitsfehlern gehören zum Alltag und was der Computer „jetzt schon wieder anzeigt“ ist für viele Benutzer unverständlich, wird aber akzeptiert. Ein kurzer Schwenk zurück zur Website der Advenzia Bank zeigt, dass auch hier der Fehlerteufel zugeschlagen hat. Unten rechts fehlt ein „r“ beim Wort für.
Website mit Typo
Alles in allem bleibt es weiter bei der Warnung: Höchstes Misstrauen, wenn Banken, Sparkassen, Kreditkartenanbieter per E-Mail nach persönlichen Daten fragen. Phishing bleibt ein lukratives Geschäft für Online-Betrüger.