Phishing-Attacke auf Sparkassen-Kunden

Kunden der Sparkassen sind zurzeit eine beliebte Zielscheibe für Phishing-Angriffe. Dabei werden die Mails wahllos, also Spam-artig verbreitet, denn die Absender wissen in aller Regel nicht wer bei welcher Bank Kunde ist. Sowohl bei Phishing- als auch bei Spam-Mails ist das Deutsch der Verfasser besser geworden.

Doch die zurzeit verbreiteten, falschen Sparkassen-Mails demonstrieren das Gegenteil. Sie sind bis Unkenntlichkeit der Botschaft aus automatischen Übersetzungen zusammen gestückelt. Frank Rickert berichtet im eleven Security Blog des Berliner Sicherheitsunternehmens über eine aktuelle Phishing-Welle, die scheinbar keinen Link zu einer gefälschten Sparkassen-Seite enthält. Vordergründig ist nur ein Link zur echten Sparkassen-Website erkennbar, der auch tatsächlich dorthin führt.

Doch im Anhang der Mails findet sich ein HTML-Formular, dessen Quelltext mit Hilfe von Javascript verschleiert ist. Mail-Programme wie etwa Outlook oder Thunderbird, die einen ausgewachsenen Web-Browser zur Interpretation von HTML-Inhalten einsetzen, können Javascript interpretieren und das Formular darstellen. Oft ist jedoch Javascript für Mail deaktiviert – aus gutem Grund.

Größere Teile des Formulars, das Kundendaten abfragt, stammen von der Website der Sparkasse, werden von dort geladen. Andere Teile stammen von einem Server in den USA, wohin auch die eingegebene Daten übermittelt werden. Unter anderem wird auch der zusätzliche Sicherheits-Code für VISA-Karten („Verified by VISA”) abgefragt. Die manipulierten Server, die das eigentliche Formular liefern sollen, wechseln täglich. Meist werden sie recht schnell von dem Phishing-Code bereinigt. Dann bekommen Mail-Empfänger das Formular nicht mehr zu sehen.