Aktuell versuchen Cyberkriminelle, mit dubiosen Fake E-Mails an sensible Daten von Kunden der ING-DiBa zu gelangen. Dabei enthält die Fake E-Mail den Hinweis, dass bei einem routinemäßigen Sicherheits-Check des Online-Banking-Systems ein Problem aufgetreten sei. Zudem wird darauf hingewiesen, dass sich Kunden umgehend zum Login auf eine externe Webseite begeben sollen, um Unannehmlichkeiten mit ihrer Bank zu vermeiden.

In Wahrheit handelt es sich hierbei jedoch um einen Phishing-Angriff, der dazu dient, personenbezogene Informationen in Erfahrung zu bringen. Wie Sie sich ganz konkret vor Fake E-Mails bzw. Phishing-Angriffen schützen können, erfahren Sie im Folgenden im Detail.

 

Die Fake E-Mail aus unserem Beispiel

Fake E-Mail

Fake E-Mail ING DIBA (Zum Vergrößern auf Abbildung klicken)

Die nebenstehende Abbildung zeigt genau den Aufbau der Fake E-Mail, die angeblich von der ING-DiBa stammen soll und in dem Postfach eines iPhones eingegangen ist. Denn in Wirklichkeit steht die E-Mail in Verbindung mit einem massenhaften Phishing-Angriff, wobei die Nachricht an eine Vielzahl von E-Mail-Empfängern in betrügerischer Absicht versendet wurde.

Die Betreffzeile lautet beispielsweise „Zu Ihrer Sicherheit (Referenznummer: xyz)“, wobei die wohl willkürliche Reihenfolge der Kombination in unserem Beispiel mit „kx5qrvnzx3h“ festgesetzt wurde. Bevor wir aus datenschutzrechtlichen Gründen die Schwärzung von Personeninformationen vorgenommen haben, war an der eingehenden E-Mail primär auffällig, dass sowohl die Empfänger- als auch die Absenderadresse die gleichen Angaben aufwiesen. Demnach handelte es sich hierbei schon um ein erstes Indiz einer gefälschten E-Mail.

Dabei ist die Masche der Täter nicht unüblich, wenn es darum geht, über Phishing entsprechende Informationen ihrer zumeist zufällig ausgewählten Opfer in Erfahrung zu bringen. Gerade wenn, wie in diesem Fall die Phishing bzw. Fake E-Mail über ein mobiles Endgerät in den Posteingang gelangt, sind die Betroffenen schnell dazu geneigt, dem beigefügten Link zu folgen. Dies vor allem dann, wenn sie tatsächlich Kunden des in der E-Mail genannten Bankinstituts sind.

Aber auch sonst ist ein Empfänger von einer Phishing Mail im Alltag schnell einmal dabei, beiläufig dem Link zu folgen. Denn auch für den Fall, dass ein Empfänger kein Konto bei der ING-DiBa hat, bietet der Angreifer der Zielperson entsprechende Optionen an. In unserem Beispiel hat der Empfänger die Möglichkeit, einem auffällig roten Button zu folgen und angeblich mitzuteilen, dass er nicht Kunde der ING-DiBa ist. Ziel des Links ist allerdings eine Phishing-Webseite, die dazu bestimmt ist, Nutzerdaten im großen Stil von den teils ahnungslosen Opfern abzugreifen. Dabei ist die vorgetäuschte Sicherheitsbenachrichtigung der ING-DiBa kein Einzelfall.

Hier finden Sie weitere Informationen zu dem Thema Phishing.

 

Weiterführende Informationen