Phishing immer perfekter

Heute nacht (01:10) wieder einmal ein phishing-mail bekommen. (Laut wikipedia: „Unter dem Begriff Phishing […] versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen […].)

Als Absender firmiert hier „PSK Bawag“, allerdings mit einer Adresse lautend auf xyz@kurier.at (wobei xyz eine offenbar willkürliche Zusammensetzung aus Buchstaben und Ziffern ist). Der Betreff der Mail ist betont sachlich „Kontobenachrichtigung“.

Der Mailtext lautet:

Diese Nachricht stammt von einem vertrauenswürdigen Absender.
[logo]
Liebe Bawag Nutzerin,

Wir haben unsere Nutzungsbedingungen entsprechevnd der neuen EU-Datenschutzverordnung zu Ihrem Vorteil aktualisiert.

Damit stellen wir sicher, dass Ihre Daten auch in Zukunft sicher geschützt sind und Sie jederzeit volle Kontrolle darüber haben was damit geschieht.

Aus Sicherheitsgründen muss die Aktualisierung der Daten bestätigt werden.
[Weiter zum Konto]
Bawg PSK Kundenservice

[logo] ist das Logo der BawagPSK, [Weiter zum Konto] ist ein Link, den man klicken soll – und nicht klicken darf. Um den gehts.

Woran kann man die Fälschung erkennen?

1. An der Uhrzeit
2. An der Mailadresse – obwohl im Mail-Programm „PSK Bawag“ angezeigt wird, ist die wirkliche Mail-Adresse eine Phantasie-Adresse, die auch nichts mit der Zeitung Kurier zu tun hat.
3. An der Umstellung PSK Bawag; die wirkliche Bawag PSK firmiert mit „Bawag“ zuerst
4. Am generischen Femininum Nutzerin – keine Bank würde das verwenden
5. Am „Tippfehler“ in entsprechevnd
6. Am Fehler in Datenschutzverordnung; die müsste Datenschutzgrundverordnung heißen
7. Am unklaren Bezug von damit
8. Am fehlenden Beistrich zwischen haben und was
9. Am fehlenden a in Bawg PSK Kundenservice
10. Am fehlenden Namen eines Kundenberaters
11. An der Versicherung, dass die Mail von einem vertrauenswürdigen Absender stamme. Jeder Lügner sagt, er sage die Wahrheit
12. Am gesamten setting. Keine Bank würde nächtens Mails versenden, die vom Kunden einen Bestätigungsklick erfordern

Es ist gut, dass Banken de facto gezwungen sind, korrektes Deutsch zu verwenden. Korrektes Deutsch nachahmen ist nicht ganz leicht.

Aber ich kann mir gut vorstellen, dass viele Leute auf so etwas bereits hereinfallen. Es sieht schon recht seriös aus.

Niemals auf zugeschickte Links klicken!

Beitrag veröffentlicht

6. November 2018

allgemein, Bildung

Schlagwörter:

phishing

Kommentare

Eine Antwort zu „Phishing immer perfekter“

Whisker

3. Januar 2019

Naja, von „immer perfekter“ würde ich bei sowas nicht reden. Sondern eher davon, dass viele Menschen genauso leichtgläubig sind wie früher, aber dass Betrüger es aufgrund der modernen Technik heutzutage deutlich leichter haben.
Ich hab heute selbst auch wieder ein Phishing-Mail bekommen:

1) Laut Betreff bekomme ich ein DHL-Paket – was gar nicht sein kann, weil ich zwar gerade auf eine Festplatte und einen Scanner warte, aber mein Händler ausschließlich per Post versendet.
2) Die Mail kommt von der Domain „shatalarab-travel.com“ – ja klar, DHL versendet ganz sicher Mails über irgendwelche obskuren Domains als die eigene (und nein, ich hab aus naheliegenden Gründen nicht einmal nachgesehen, ob es unter der URL überhaupt eine Website gibt).
3) Als Attachment ist ein Word-Dokument namens „Status-zu-Sendung-761670698394.doc“ angefügt – ja klar, Word-Dokumente eignen sich ja bekanntlich viel besser zur Sendungsverfolgung als dynamisch generierte Websites.
4) Und das Paket kommt angeblich von Apple – jaja, natürlich würde ich mir obszön überteuerte Produkte wie z.B. ein iPhone kaufen, deren Preis mit >1.000 Euro etwa das 1,5-fache einer durchschnittlichen Monatsmiete für eine 40m²-Wohnung in Innsbruck kosten (wer sowas kauft, hat meiner Meinung nach obszön zuviel Geld oder schlichtweg nicht mehr alle Latten am Zaun). Noch dazu von einer Firma, die diese Geräte von Firmen wie Foxconn fertigen läßt, bei der die Arbeitsbedingungen so dermaßen miserabel sind, dass diese Firma in ihren Arbeitsverträgen ihren Bediensteten untersagen muß, Suizid zu begehen.

Unter anderem versendet z.B. meine Bank sowieso keine E-Mails, sondern ich bekomme mit schöner Regelmäßigkeit beim Einloggen ins Online-Banking Benachrichtigungen, in denen meine Bank explizit darauf hinweist, dass sie niemals per E-Mail verlangen würde, meine Verfügernummer, mein Paßwort (und früher auch noch einen oder mehrere TANs) anzugeben, weil mir sonst z.B. mein Konto gesperrt würde.

Deswegen kostet es mich durchaus auch einige Anstrengung, Mitgefühl für Menschen zu empfinden, die auf solche dilettantischen und so simpel zu enttarnende Betrugsmaschen hereinfallen. Aber die Gier ist halt ein Hund.

Ich finde, ein wenig nachdenken und Hausverstand benutzen muß man von Menschen durchaus einfordern dürfen (und nur um es klarzustellen: ich finde solche Betrugsversuche natürlich und trotzdem verabscheuungswürdig und verfolgenswert).

Antworten