This is an old revision of the document!
Newsletter einer Bank - wie man es nicht macht
Heute ereilte mich der Newsletter einer Bank, bei der ich ein Konto führen lasse, in dem man demonstriert, wie man es nicht macht:
1. Nachdem ich mir nicht mehr sicher war, ob diese Bank meine eMail-Adresse kannte, warf ich einen Blick hinein: nur (stilistisch schlechtes, und meines Erachtens auch eher invalides) HTML in dieser eMail, das von meinem Mailreader als Quelltext angezeigt wurde. Besonders nett fand ich die folgenden Zeilen:
<!-- saved from url=(0155)file://C:\Dokumente%20und%20Einstellungen\XXXX\Lokale%20Einstellungen\ Temporary%20Internet%20Files\OLK169\Bank%20Institut%20News%20November%2020052.html -->
(Umbrüche und Anonymisierung durch mich)
2. Angesprochen wurde ich in dieser eMail mit einem anderen Namen, offenbar kann sich jeder mit jeder beliebigen eMail-Adresse dort anmelden, confirmed opt-in existiert als Standard für seriösen Newsletter-Versand ja erst ein paar Jahre.
3. Der Newsletter wurde offenbar von einem externen Dienstleister versendet, so daß in den Mail-Headern nicht die Bank auftaucht, sondern eben dieser Dienstleister. Eine Unterscheidung zu einer Phishing-Mail wird dadurch nicht einfacher.
4. Nach einer kurzen Recherche war mir dann auch klar, wer der beauftragte Dienstleister ist - vorsichtig formuliert ist seine Geschäftspraxis umstritten, wie ich auch aus eigener Erfahrung weiß.
5. Den Höhepunkt stellten dann aber Links wie der folgende dar. Links in Phishing-Mails sehen praktisch genauso aus:
<A style="COLOR: #000000" href="http://de.dienstleister.invalid/re?l=XXXXXXXXXX" target=_blank>www.bank-institut.invalid</A>
(Umbrüche und Anonymisierung durch mich)
Die URI beim Dienstleister war zwar nur eine Weiterleitung auf die im Klartext angegebene URI (www.bank-institut.invalid), das ist jedoch vor Aufruf der URI nicht absehbar.
Fazit:
- Abschließend konnte ich die Authentizität der eMail nicht wirklich zu 100% feststellen, wenn auch die meisten Anzeichen dafür sprechen.
- Banken machen sich keine Gedanken über ihre Kundenkommunikation.
- Da auch offizielle, authentische Kommunikation mit Banken diverse Seltsamkeiten aufweist, wird es selbst für einen aufmerksamen Kunden schwierig, Phishing-Mails zu erkennen.