Zum Seiteninhalt
News

Erste Bank-/Sparkasse-Phishing-Mail im Umlauf

Gepostet am 11.08.2014 von Watchlist Internet

Aktuell sind Phishing-Mails in Umlauf, die vermeintlich von der Erste Bank/Sparkasse stammen. Unter dem falschen Vorwand einer notwendigen Kontoaktualisierung soll eine betrügerische Website aufgerufen werden, die nach vertraulichen Daten, wie Verfügernummer oder PIN, fragt.

Absender der E-Mails mit dem Betreff „Sparkasse.at Online-Banking- Account Aktualisierung‏‏“ ist angeblich die „sparkasse“, deren Adresse merkwürdigerweise „t.szabados@galgaktv.hu“ ist. Bereits an dieser Stelle zeigt sich die betrügerische Absicht des Schreibens: Es ist offensichtlich, dass Betrüger/innen ein fremdes E-Mail-Konto gehackt haben und über dieses ihre Phishing-Mail versenden. Ein seriöses Unternehmen hingegen würde niemals auf fremde E-Mail-Adressen zurückgreifen, um mit Kund/innen in Kontakt zu treten.

Die E-Mail im Original:

Sparkasse AG
Renngasse 6-8
Wien

Sehr geehrter Kunde,

Wie Ihnen wahrscheinlich bekannt ist, tritt ab 01.July 2014 das neue SEPA-Zahlungssystem in Kraft. SEPA (Single Euro Payments Area) ist das neue vereinheitlichte Zahlungssystem, das europaweit gilt. Mit dem neuen SEPA-System werden Überweisungen nicht nur schneller und zuverlässiger, der Zahlungsverkehr wird durch dieses neue System auch sicherer.

Bitte folgen Sie den Anweisungen des aufgeführten Links:
dasjus.com.br/sparkasse/public_html/www.sparkasse.at/netbanking.html

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim e-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen e-Banking Ihrer Sparkasse.at AG haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das e-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES e-BankingS AUF EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs Girokonto
- e-Banking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- e-Banking ist kombinierbar mit Telefon-Banking

Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update zur SEPA-Umstellung so schnell wie möglich durch.

Mit freundlichen Grüßen,
e-Banking/SEPA Abteilung
Sparkasse.at AG

Es ist davon auszugehen, dass dieses Schreiben in zahlreichen weiteren Varianten existiert.

Der Trick ist immer der gleiche

Die Empfänger/innen dieses Schreibens werden dazu aufgefordert, auf dem in der E-Mail angegebenen Link („dasjus.com.br/sparkasse/public_html/www.sparkasse.at/netbanking.html/“) zu klicken und auf der nun aufscheinenden Seite persönliche Daten bekannt zu geben. Das mit dem Argument, „das Update zur SEPA-Umstellung so schnell wie möglich durch(zuführen)“.

Wie gezeigt führt ein Klick auf den Link nicht zur echten Website der Erste Bank und Sparkasse, sondern zu einer gefälschten Seite, auf der hochvertrauliche Informationen, wie Verfügernummer und PIN, bekannt gegeben werden sollen. Die betrügerische Website ist der echten Erste Bank und Sparkasse-Seite nachempfunden:


Einer gefälschten Erste Bank-/Sparkasse-Seite, zu finden auf „dasjus.com.br/sparkasse/public_html/www.sparkasse.at/netbanking.html/“(Screenshot vom 11.08.2014).

Wird die tatsächliche Hauptseite des Links„dasjus.com.br“angesteuert, zeigt sich, dass dahinter nicht die Erste Bank und Sparkasse steht. Was sich öffnet, ist die Website eines brasilianischen Unternehmens, das mit Kinderware handelt:


Die Website „dasjus.com.br/ (Screenshot vom 11.08.2014).

An dieser Stelle zeigt sich, dass die Betrüger/innen die Seite des brasilianischen Unternehmens gehackt haben, um auf dessen Server ihre gefälschte Phishing-Seite zu hinterlegen.

Werden auf der gefälschten Erste Bank-/Sparkasse-Seite unvorsichtigerweise die Daten an die Verbrecher/innen durch das Drücken auf den Knopf „Login“übermittelt, öffnet sich die echte Erste Bank/Sparkasse-Website. Dieser Umstand soll Opfer glauben lassen, ihre Daten im gewohnten eBanking-Bereich ihrer Bank hinterlegt zu haben.

Es folgt ein Telefonanruf, um weitere Daten herauszulocken

Kurze Zeit nach Bekanntgabe der persönlichen Informationen wird das Opfer von den Betrüger/innen telefonisch kontaktiert, um von diesem weitere Daten in Erfahrung zu bringen. Am Ende des Tages ist es den Kriminellen mit den auf diese Art und Weise geraubten Bankdaten möglich, fremde Konten zu leeren und sich finanziell zu bereichern.

Das Schreiben ist in mehrerer Hinsicht dubios

Es sind vor allem die bisher erwähnten Ausführungen, die die kriminelle Energie des Schreibens offenlegen. Darüber hinaus zeigen nachfolgende Punkte, dass bei dem Schreiben etwas nicht mit rechten Dingen zugeht:

  • Als Anschrift der Sparkasse AG wird die Renngasse 6-8, Wien genannt. Die Anschrift ist nicht nur Lückenhaft (fehlende Postleitzahl!), sondern auch falsch.
  • Der/die Empfänger/in wird nicht direkt angesprochen („Sehr geehrter Kunde“). Seriöse Unternehmen sprechen ihre Kund/innen jedoch immer persönlich an („Sehr geehrte Frau/Herr Müller“).
  • Die E-Mail ist in unterschiedlichen Sprachen verfasst („Wie Ihnen wahrscheinlich bekannt ist, tritt ab 01.July 2014“) und ihr Text fehlerhaft („Bitte folgen Sie den Anweisungen des aufgeführtenLinks:“; „DES e-BankingS“ …).
  • Die in dem Schreiben genannten Behauptungen sind falsch. Das SEPA-Zahlungssystem trat mit dem 01.August 2014 und nicht, wie geschrieben wird, ab „01. July 2014“ in Kraft. Das Bankkund/innen deshalb persönliche Daten bekannt geben müssen, entbehrt jeglicher Grundlage, da die Umstellung für sie automatisch von ihrer Bank durchgeführt wird.

Unsere Empfehlung:

Löschen Sie entsprechende E-Mails und antworten Sie keinesfalls darauf. Banken verlangen niemals vertrauliche Daten, wie Verfügernummer oder PIN, per E-Mail!

Unterstützt von:

Ein Projekt des:

Internet Ombudsmann