|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Phishing-Angriffe auf Kunden der Postbank und anderer internationaler Banken Moderne Browser heben die Domain im Adressfeld besonders hervor, so dass Phisher zunehmend versuchen, eine möglichst ähnlich aussehende Domain anzumelden (
Anzeige
Um den Zugang wieder freizuschalten, solle man sich unter
einem speziellen Link in sein Postbankkonto einloggen. Wer dem Link in der
E-Mail folgt, wird zunächst über eine russische Seite geleitet und gelangt
dann zur Adresse: http://www.postbank.de.86578.login.postdrekt.com//megacrm/html/ Die russische Website benutzt die weit verbreitete Serversoftware Apache mit einigen Zusatzmodulen wie PHP. Da weder die Apache-Version (Stand Januar 2008), noch PHP (Stand November 2007) in letzter Zeit aktualisiert wurden, dienten sie den Hackern vermutlich als Einfallstor. Die verwirrend lange URL, zu der dann weitergeleitet wird,
hat nur einen Zweck: Sie soll den Betrachter täuschen. Auf den ersten Blick
sieht man die Adresse www.postbank.de, welche aber nur eine Subdomain ist.
Die wirkliche URL lautet postdrekt.com und wurde am Moderne Browser heben die Domain im Adressfeld besonders hervor, so dass Phisher zunehmend versuchen, eine möglichst ähnlich aussehende Domain anzumelden. Der Server von postdrekt.com steht in Kolumbien und ist über den Provider Telmex Colombia S.A. angebunden. Auf der Phishing-Seite selbst werden die Besucher zur Eingabe ihrer Kontonummer und der PIN aufgefordert. Die darauf folgende Seite war nicht mehr erreichbar. Das eleven Research Team geht jedoch davon aus, dass dort weitere Daten wie beispielsweise TANs abgefragt werden. Alle anderen Links auf der Seite führen zum richtigen Webauftritt der Postbank. Weitere kleinere Erkennungszeichen für den Betrug: Das Favoriten-Icon ist falsch und der Copyright-Hinweis stammt aus dem letzten Jahr. Darüber hinaus kommuniziert die Postbank - wie die meisten Banken - nicht per E-Mail mit ihren Kunden, sondern legt Mitteilungen im geschützten Kundenbereich ab. Die Postbank beginnt seit Anfang des Jahres die Verwendung von TANs einzustellen. Kunden werden aufgefordert auf mTANs (mobile TANs per Mobiltelefon) oder auf Kartenleser umzusteigen. Möglicherweise versuchen Kriminelle also die letzte Chance zu ergreifen, noch an gültige TANs zu gelangen. Internationale Banken ebenfalls betroffen Die Angriffe auf Kunden der Postbank sind nur ein kleiner Ausschnitt dessen, was die Experten von eleven täglich beobachten. In dieser Woche wurden ebenfalls Phishing-E-Mails an Kunden der griechischen Nationalbank und an Kunden einer arabischen Bank gesichtet. Die Vorgehensweise ist meist ähnlich: Über ein schlecht gewartetes Content Management System schleusen die Kriminellen Webseiten auf einer Domain ein. Dort werden die Phishing-Seiten gehostet und die ab-"gephishten" Daten weitergeleitet. Die eigentlichen Betreiber der Webseiten bemerken oft nichts; erst wenn die Hoster auf die kriminellen Aktivitäten hingewiesen werden und die Webseite schließen, fliegt die Sache auf. Meist sind die Phisher dann schon weitergezogen. Das eleven Research Team beobachtete, dass die Seiten oft nur wenige Stunden aktiv sind. (eleven: ra) |
||
|
