Mischformular

Phishing-Attacke auf Sparkassen-Kunden

Mittwoch, 20.07.2011 | 16:13 von Frank Ziemann
Entgegen dem Trend zu immer besserem Deutsch in Phishing- und Spam-Mails werden in dieser Woche wieder Phishing-Angriffe vorgetragen, die schon an den zahlreichen Fehlern leicht zu erkennen sind.
Kunden der Sparkassen sind zurzeit eine beliebte Zielscheibe für Phishing-Angriffe. Dabei werden die Mails wahllos, also Spam-artig verbreitet, denn die Absender wissen in aller Regel nicht wer bei welcher Bank Kunde ist. Sowohl bei Phishing- als auch bei Spam-Mails ist das Deutsch der Verfasser besser geworden .

Doch die zurzeit verbreiteten, falschen Sparkassen-Mails demonstrieren das Gegenteil. Sie sind bis Unkenntlichkeit der Botschaft aus automatischen Übersetzungen zusammen gestückelt. Frank Rickert berichtet im eleven Security Blog des Berliner Sicherheitsunternehmens über eine aktuelle Phishing-Welle, die scheinbar keinen Link zu einer gefälschten Sparkassen-Seite enthält. Vordergründig ist nur ein Link zur echten Sparkassen-Website erkennbar, der auch tatsächlich dorthin führt.

Sparkassen-Phishing
Vergrößern Sparkassen-Phishing

Doch im Anhang der Mails findet sich ein HTML-Formular, dessen Quelltext mit Hilfe von Javascript verschleiert ist. Mail-Programme wie etwa Outlook oder Thunderbird, die einen ausgewachsenen Web-Browser zur Interpretation von HTML-Inhalten einsetzen, können Javascript interpretieren und das Formular darstellen. Oft ist jedoch Javascript für Mail deaktiviert – aus gutem Grund.

Größere Teile des Formulars, das Kundendaten abfragt, stammen von der Website der Sparkasse, werden von dort geladen. Andere Teile stammen von einem Server in den USA, wohin auch die eingegebene Daten übermittelt werden. Unter anderem wird auch der zusätzliche Sicherheits-Code für VISA-Karten („Verified by VISA”) abgefragt. Die manipulierten Server, die das eigentliche Formular liefern sollen, wechseln täglich. Meist werden sie recht schnell von dem Phishing-Code bereinigt. Dann bekommen Mail-Empfänger das Formular nicht mehr zu sehen.

Mittwoch, 20.07.2011 | 16:13 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (2)
  • Falcon37 17:51 | 20.07.2011

    Zitat: Isberk
    Das Deutsch in Ihrem Artikel tut aber auch nicht viel besser sein.
    Der Autor hat seinen Artikel dem Thema angepasst.

    Antwort schreiben
  • Isberk 17:47 | 20.07.2011

    Wer im Glashaus sitzt, ...

    Das Deutsch in Ihrem Artikel tut aber auch nicht viel besser sein.

    Antwort schreiben
1067962