Posträuber auf Phishzug

20. August 2004 | Achtung Täuschung

Posträuber Ronald Biggs hätte sich wohl angewidert abgewendet: Ganoven beklauen nicht mehr die Banken, sondern deren Kunden. In einem riesigen “Phishzug” verschickten Unbekannte vergangene Nacht tausende E-Mails an vornehmlich deutsche Adressaten.

Die angeblich von der Postbank stammende Mail warnt sogar vor kriminellen Machenschaften im Internet und kündigt neue Schutzmaßnahmen an, in deren Rahmen man sein Postbank-Konto überprüfen solle. Die Mail enthält Tipps, wie man sich vor Phishing schützen kann, erläutert beispielsweise die Funktion von Zertifikaten und wie man deren Gültigkeit überprüft. Darüber hinaus erklärt sie, wie man feststellen kann, ob man nach einem Klick auf einen Link auch wirklich auf der Webseite der Postbank gelandet ist.

Die Autoren gehen offenbar davon aus, dass solche Hinweise keiner versteht oder wirklich ernst nimmt, führte doch der eingebaute Link auf http://POSTBANKS.INFO, wo ein nahezu perfekter Nachbau des Online-Banking-Logins der Postbank die Opfer erwartete. Allerdings fragt die Seite neben der PIN auch gleich eine TAN ab, sodass die Betrüger tatsächlich auch Transaktionen über die Konten ihrer Opfer abwickeln könnten. Die Seite ist mittlerweile wohl wegen starker Überlastung nur noch schwer erreichbbar; wie viele Zugangskennungen die Betrüger bislang abgreifen konnten, ist offen. Die Postbank warnt auf ihrer eigenen Seite zwar vor Phishing-Mails, bezieht sich momentan aber noch auf einen früheren Vorfall.

Dabei kann man sich ganz einfach vor solchen Phishereien schützen: Niemals Links in E-Mails vertrauen und Seiten, die einen Login mit Passwort erfordern, immer über die eigenen Bookmarks ansteuern. “Passworteingabe = Bookmark” lautet die einfache Gleichung, die man sich und seinen Angehörigen einhämmern sollte.

Nachtrag:
Mittlerweile ist die Phishing-Seite im Netz nicht mehr erreichbar, nachdem die Postbank den zuständigen Provider um Abschaltung gebeten hat. Nach Angaben von Jürgen Ebert aus der Presseabteilung der Postbank sind auch die Ermittlungsbehörden informiert worden. Allerdings sei es erfahrungsgemäß schwierig, die Urheber der Phishing-Raubzüge zu ermitteln. Auch zu den vorhergehenden Betrugsversuchen[4] durch gefälschte Mails habe man bislang wenig Erkenntnisse. Zu den aktuellen Vorgängen habe man zwar viele Hinweise von Kunden erhalten, gehe allerdings davon aus, dass kein Kunde zu Schaden gekommen sei. Offenbar hätten die Kunden die vielen Hinweise auf den eigenen Seiten zum sicheren Umgang mit Online-Banking beherzigt. Zu den neuesten Phishing-Angriffen will die Postbank in Kürze weitere Informationen online zur Verfügung stellen.