„Zu Ihrer Sicherheit“ – Vorsicht vor ING-DiBa Fake E-Mails

„Zu Ihrer Sicherheit“ – Vorsicht vor ING-DiBa Fake E-Mails

Aktuell versuchen Cyberkriminelle, mit dubiosen Fake E-Mails an sensible Daten von Kunden der ING-DiBa zu gelangen. Dabei enthält die Fake E-Mail den Hinweis, dass bei einem routinemäßigen Sicherheits-Check des Online-Banking-Systems ein Problem aufgetreten sei. Zudem wird darauf hingewiesen, dass sich Kunden umgehend zum Login auf eine externe Webseite begeben sollen, um Unannehmlichkeiten mit ihrer Bank zu vermeiden.   In Wahrheit handelt es sich hierbei jedoch um einen Phishing-Angriff, der dazu dient, personenbezogene Informationen in Erfahrung zu bringen. Wie Sie sich ganz konkret vor Fake E-Mails bzw. Phishing-Angriffen schützen können, erfahren Sie im Folgenden im Detail.  

Die Fake E-Mail aus unserem Beispiel

 
Fake E-Mail

Fake E-Mail ING DIBA (Zum Vergrößern auf Abbildung klicken)

Die nebenstehende Abbildung zeigt genau den Aufbau der Fake E-Mail, die angeblich von der ING-DiBa stammen soll und in dem Postfach eines iPhones eingegangen ist. Denn in Wirklichkeit steht die E-Mail in Verbindung mit einem massenhaften Phishing-Angriff, wobei die Nachricht an eine Vielzahl von E-Mail-Empfängern in betrügerischer Absicht versendet wurde.   Die Betreffzeile lautet beispielsweise „Zu Ihrer Sicherheit (Referenznummer: xyz)“, wobei die wohl willkürliche Reihenfolge der Kombination in unserem Beispiel mit „kx5qrvnzx3h“ festgesetzt wurde. Bevor wir aus datenschutzrechtlichen Gründen die Schwärzung von Personeninformationen vorgenommen haben, war an der eingehenden E-Mail primär auffällig, dass sowohl die Empfänger- als auch die Absenderadresse die gleichen Angaben aufwiesen. Demnach handelte es sich hierbei schon um ein erstes Indiz einer gefälschten E-Mail.   Dabei ist die Masche der Täter nicht unüblich, wenn es darum geht, über Phishing entsprechende Informationen ihrer zumeist zufällig ausgewählten Opfer in Erfahrung zu bringen. Gerade wenn, wie in diesem Fall die Phishing bzw. Fake E-Mail über ein mobiles Endgerät in den Posteingang gelangt, sind die Betroffenen schnell dazu geneigt, dem beigefügten Link zu folgen. Dies vor allem dann, wenn sie tatsächlich Kunden des in der E-Mail genannten Bankinstituts sind.   Aber auch sonst ist ein Empfänger von einer Phishing Mail im Alltag schnell einmal dabei, beiläufig dem Link zu folgen. Denn auch für den Fall, dass ein Empfänger kein Konto bei der ING-DiBa hat, bietet der Angreifer der Zielperson entsprechende Optionen an. In unserem Beispiel hat der Empfänger die Möglichkeit, einem auffällig roten Button zu folgen und angeblich mitzuteilen, dass er nicht Kunde der ING-DiBa ist. Ziel des Links ist allerdings eine Phishing-Webseite, die dazu bestimmt ist, Nutzerdaten im großen Stil von den teils ahnungslosen Opfern abzugreifen. Dabei ist die vorgetäuschte Sicherheitsbenachrichtigung der ING-DiBa kein Einzelfall.    

6 Tipps zur Erkennung von Phishing bzw. Fake E-Mails

  Um zu verhindern, dass auch Sie von einem solchen Angriff betroffen sind, zeigen wir Ihnen nachfolgend, an welchen Hauptmerkmalen Sie jede Phishing bzw. Fake E-Mail erkennen können.    

Merkmal Nr. 1: Die Ansprache

  Auffällig ist häufig, dass entweder eine Standardfloskel zur Ansprache der Zielperson verwendet wird oder die Anrede ganz fehlt. Sehr selten werden Empfänger von Phishing Mails mit dem ganzen Namen angesprochen. Dies liegt in dem Umstand begründet, dass Fake E-Mails nicht nur vereinzelt, sondern teilweise automatisiert millionenfach versendet werden. Individuelle Anreden gehören hier eher der Ausnahme an. In unserem Beispiel war überhaupt keine Anrede vorhanden.    

Merkmal Nr. 2: Inhalt der E-Mail

  Eine Phishing Mail ist vom Kontext her so gestaltet, dass die wahren Absichten gegenüber dem Empfänger zumindest bis zum ersten Klick auf einen der beigefügten Links verborgen bleiben soll. Hier sind folgende Köder bei Cyber-Ganoven sehr beliebt:  
  • Fake E-Mails in Form von angeblichen PayPal-Sicherheitsbenachrichtigungen
  • Phishing Mails, die angeblich von Kreditinstituten stammen
  • Gefälschte E-Mail-Benachrichtigungen, die scheinbar Amazon oder Ebay entspringen
  • Vorgetäuschte Sicherheitslücken von Social Media Konten, die zeitnah beseitigt werden sollen
Die Cyberkriminellen sind somit sehr einfallsreich, wenn es darum geht, ihre Opfer hinter das Licht zu führen.    

Merkmal Nr. 3: Die Handlungsaufforderung

  Hat der Angreifer durch seine Fake E-Mail die ersten Hürden gemeistert, geht es darum, den Empfänger aktiv zum Handeln zu bewegen. Hier wird die Zielperson zunächst durch einen Link auf eine externe Seite gelotst. Diese ähnelt zumeist dem Login-Bereich einer Bank, eines Online-Händlers oder eines sonstigen Unternehmens, welches bestimmte Internetdienste anbietet.   Sobald das Opfer die Eingaben in den entsprechenden Formularfeldern vorgenommen und durch einen Klick auf ein Bestätigungsfeld abgesendet hat, ist der Cyberkriminelle im Besitz der Login-Daten. Nun kann er z.B. Bestellungen in Online-Shops unter falschen Namen vornehmen oder Einsicht in sensible Konten- oder Firmendaten erhalten. Der Phishing-Angriff ist somit erfolgreich gewesen.    

Merkmal Nr. 4: Die Zeitverknappung

  Ein probates Mittel, welches gerne einmal von Angreifern genutzt wird, ist die Forcierung des Zeitfaktors. Hier wird versucht, den Empfänger erst gar nicht zum Nachdenken zu bringen. In unserem Beispiel erfolgt die Zeitverknappung durch folgende Formulierung: „Bitte loggen Sie sich so bald wie möglich in ihr Konto ein, um jegliche Verspätung Ihrer Banking Tätigkeiten zu vermeiden.“   Auch recht beliebt sind angstverbreitende Floskeln in der Betreffzeile, wie beispielsweise „Ihr Konto wurde gesperrt.“ oder „Es wurde ein Betrag von Ihrem Konto abgebucht.“. Diese Sätze treiben manch einem Empfänger im ersten Augenblick Schweißperlen auf die Stirn, so dass ohne groß nachzudenken dem beigefügten Link gefolgt wird.    

Merkmal 5: Fragwürdige Buttons und Links

  Um den Prozess des Phishings erfolgreich durchführen zu können, gehört ein weiterführender Link in Text- oder Buttonform zum Standardrepertoire einer jeden Phishing bzw. Fake E-Mail. So auch in unserem Beispiel.   Unser Rat an Sie: Wenn es um fragwürdige Sicherheitsabfragen geht, die mit einem Link hinterlegt sind, empfehlen wir Ihnen grundsätzlich, diese Links nicht aus dem E-Mail-Programm aufzurufen. Stattdessen sollten Sie sich zum Login in Ihre Nutzerkonten immer direkt über den Browser bzw. über die offizielle Webseite des Anbieters per manuelle Eingabe einloggen. Dies gilt für Online-Services jeglicher Art.    

Merkmal Nr. 6: So gehen seriöse Firmen und Institute vor

 

Hinsichtlich der Erkennung von Phishing Mails bzw. Fake E-Mails sollten Sie sich immer vor Augen halten, dass seriöse Unternehmen oder Institute Sie niemals über eine E-Mail dazu auffordern würden, personenbezogene Daten preiszugeben. Dies gilt für vorgetäuschte Sicherheits- bzw. Verifizierungsabfragen gleichermaßen. Ganz unabhängig davon, um welche Bank oder Firma es sich im konkreten Einzelfall handelt.

 

Aus diesem Grund weisen diverse Bankinstitute regelmäßig auf die Problematik der Fake E-Mails bzw. der sogenannten Phishing Mails hin. Bei der nachfolgenden Bank heißt es z.B.:

 

„Die Volksbank Raiffeisenbank oder der BVR werden Bankkunden niemals per E-Mail nach persönlichen Informationen wie PIN oder Kontonummer fragen, in E-Mails einen Link zum Online-Banking einfügen oder Bankkunden dazu auffordern, Test- oder Rücküberweisungen vorzunehmen. Diese Punkte sind immer sichere Anzeichen für Betrugsversuche.“ (Quelle: Volksbank Raiffeisenbank)  

Daher können Sie nach Eingang von einer solchen E-Mail, diese sofort löschen. Dies ist letztlich die einfachste Variante, um einen Phishing-Angriff zu begegnen.

  

Weiterführende Informationen

 
  • Entdecken Sie jetzt Hornetsecurity ATP
  • Kostenloses Webinar zum Thema „Live-Attacken: Heute sind wir die Täter – Die Gefahr von CEO Fraud, Ransomware & Co.“ – Jetzt anmelden!