[[it:security:phishing]]
You are here: start » it » security » phishing
Show pagesource
AdminRecent ChangesSitemap

This is an old revision of the document!

Newsletter einer Bank - wie man es nicht macht

Heute ereilte mich der Newsletter einer Bank, bei der ich ein Konto führen lasse, in dem man demonstriert, wie man es nicht macht:

1. Nachdem ich mir nicht mehr sicher war, ob diese Bank meine eMail-Adresse kannte, warf ich einen Blick hinein: nur (stilistisch schlechtes, und meines Erachtens auch eher invalides) HTML in dieser eMail, das von meinem Mailreader als Quelltext angezeigt wurde. Besonders nett fand ich die folgenden Zeilen: 

<!-- saved from url=(0155)file://C:\Dokumente%20und%20Einstellungen\XXXX\Lokale%20Einstellungen\
Temporary%20Internet%20Files\OLK169\Bank%20Institut%20News%20November%2020052.html -->

(Umbrüche und Anonymisierung durch mich)

2. Angesprochen wurde ich in dieser eMail mit einem anderen Namen, offenbar kann sich jeder mit jeder beliebigen eMail-Adresse dort anmelden, confirmed opt-in existiert als Standard für seriösen Newsletter-Versand ja erst ein paar Jahre.

3. Der Newsletter wurde offenbar von einem externen Dienstleister versendet, so daß in den Mail-Headern nicht die Bank auftaucht, sondern eben dieser Dienstleister. Eine Unterscheidung zu einer Phishing-Mail wird dadurch nicht einfacher.

4. Nach einer kurzen Recherche war mir dann auch klar, wer der beauftragte Dienstleister ist - vorsichtig formuliert ist seine Geschäftspraxis umstritten, wie ich auch aus eigener Erfahrung weiß.

5. Den Höhepunkt stellten dann aber Links wie der folgende dar. Links in Phishing-Mails sehen praktisch genauso aus: 

<A style="COLOR: #000000" href="http://de.dienstleister.invalid/re?l=XXXXXXXXXX"
target=_blank>www.bank-institut.invalid</A>

(Umbrüche und Anonymisierung durch mich)

Die URI im Klartext (www.bank-institut.invalid) unterscheidet sich von der, die dann aufgerufen wird (http://de.dienstleister.invalid/re?l=XXXXXXXXXX). Die URI beim Dienstleister war zwar nur eine Weiterleitung auf die im Klartext angegebene URI, das ist jedoch vor Aufruf nicht absehbar.

Fazit:

  • Abschließend konnte ich die Authentizität der eMail nicht wirklich zu 100% feststellen, wenn auch die meisten Anzeichen dafür sprechen.
  • Banken machen sich keine Gedanken über ihre Kundenkommunikation.
  • Da auch offizielle, authentische Kommunikation mit Banken diverse Seltsamkeiten aufweist, wird es selbst für einen aufmerksamen Kunden schwierig, Phishing-Mails zu erkennen.
it/security/phishing.1144399363.txt · Last modified: 2006-06-11 11:28 (external edit)
Show pagesourceOld revisions
Media ManagerBack to top
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0