Achtung: sehr gut getarnte Sparkasse-Phisingmail zum Thema S-PushTAN unterwegs

Natürlich ist diese Mail nicht von der Sparkasse gekommen, sondern wurde von Betrügern verschickt, die gerne an die Sparkassen Zugangsdaten kommen würden.

Wenn ich E-Mails von Banken bekomme, gehe ich in der Regel davon aus, dass es Spam oder Phishing ist. Kaum eine Bank vertraut in Bezug auf die Kommunikation mit Kunden noch auf E-Mails, wenn man nicht direkten Mail-Kontakt zu einem bestimmten Mitarbeiter hat.

Meistens klicke ich mich dann durch die Phishing-Mails durch, um zu sehen, was die Betrüger so treiben und ob man als Laie sehen kann, dass es sich um Phishing handelt. Und leider muss ich sagen: die Blödmänner und -frauen, die mit dieser Technik Leute übers Ohr hauen wollen, werden immer besser in ihrem „Business“.

Betreff: S-PushTAN App Registrierung läuft bald ab

Die Mail, die ich vermeintlich von der Sparkasse erhalten habe, hat folgenden Wortlaut:

Hinweis: Ihre S-PushTAN App-Registrierung läuft bald ab

Sehr geehrter Kunde,

Aus unseren Kundenunterlagen geht hervor, dass Ihre S-PushTAN App-Registrierung bald abläuft. Aus Sicherheitsgründen müssen Sie ihre S-pushTAN-verbindung regelmäßig aktualisieren. Nach der Aktualisierung können Sie wieder problemlos und sicher ihre TANs empfangen. Ihr S-PushTAN App wird nach dem 01.03.2021 gesperrt und Sie müssen den Registrierungsvorgang erneut durchführen.

Wie erneuere ich meine S-PushTAN App-Registrierung?

Erneuern Sie Ihre S-PushTAN App sofort, indem Sie den QR-Code rechts mit der Kamera Ihres Smartphones scannen. Gehen Sie dann die Schritte durch und schließen Sie die Registrierung ab.

[QR Code]

Wir vertrauen darauf, dass wir Sie ausreichend informiert haben.

Mit freundlichen Grüßen

Ihre Sparkasse

Das klingt erstmal fast so, als könne es von der Sparkasse kommen. Auch der QR-Code ist ja durchaus ein probates Mittel, um Menschen es einfach zu machen, komplexe URLs aufzurufen. Aus diesem Grund würde ich erstmal als Laie keinen Verdacht schöpfen.

Natürlich ist diese Mail nicht von der Sparkasse gekommen, sondern wurde von Betrügern verschickt, die gerne an die Sparkassen Zugangsdaten kommen würden.

Natürlich ist diese Mail nicht von der Sparkasse gekommen, sondern wurde von Betrügern verschickt, die gerne an die Sparkassen Zugangsdaten kommen würden.

Warum ein QR-Code?

Die erste Frage, die ich mir gestellt habe: Warum finde ich hier einen QR-Code und nicht einfach einen Link zum Anklicken?

Ganz einfach: Der QR-Code wird von Virenscannern und von Mailprovidern nicht aufgelöst und so wissen diese nicht, dass sich dahinter eine Internetadresse einer „bösartigen“ Webseite verbirgt. Selbst, wenn die Webseite auf die Blacklist kommt, wird nicht erkannt, dass sie in der Mail vorkommt, da es keinen Link im Klartext gibt.

Der zweite gute Grund dürfte sein, dass man durch das Scannen des QR-Codes sehr genau sagen kann, dass die Mehrheit der Leute die Seite mit einem Smartphone aufrufen wird.

Als Angreifer kann man sich also darauf einschießen, dass man es mit hoher Wahrscheinlichkeit mit einem iPhone oder einem Android-Gerät zu tun haben wird. Und ich nehme stark an, dass die Sparkasse-Phishing-Seite auf Android-Nutzer abzielt, da ein Aufruf mit meinem iPhone 12 Pro Max nur ein Ladesymbol hervorgebracht hat. Installieren wollte sich da nichts.

E-Mail-Adresse, Schreibfehler und Rechtschreibung als Indizien für Phishing-Mail

Und obwohl mir gleich klar war, dass eine Mail an meine öffentliche info@-E-Mail-Adresse sicherlich von keiner echten Bank kommt, war die Erläuterung in der Mail, warum ich nun den QR-Code scannen sollte, doch überzeugend gemacht. Einzig zwei Schreibfehler sind mir aufgefallen:

  • „ihre“ wird bei der Ansprache mit großen „I“ geschrieben
  • „S-pushTAN-verbindung“ wird natürlich mit großem „V“ geschrieben

Das ist schon nicht mehr so einfach als Phishing-Mail zu erkennen, wie die Mails, die man vor Jahren erhalten hat, bei denen noch alle deutschen Umlaute im Eimer waren.

Ein weiteres deutliches Merkmal ist die Absender-E-Mail-Adresse, die man mit Apple Mail sehen kann, wenn man die Mail-Adresse anklickt. Hier ist keine E-Mail-Adresse mit @sparkasse.de zu finden, was wiederum als Indiz dafür zu sehen ist, dass hier jemand anderes der Urheber ist.

Die hinterlegte Mail-Adresse kann natürlich auf jede beliebige Mail verstellt werden, aber die Phisher haben sich keine Mühe gegeben und keine mit der Endung @sparkasse.de verwendet.

Die hinterlegte Mail-Adresse kann natürlich auf jede beliebige Mail verstellt werden, aber die Phisher haben sich keine Mühe gegeben und keine mit der Endung @sparkasse.de verwendet.

Zielseite lässt nur die Eingabe der PLZ zu

Ruft man nun die Seite auf, die sich hinter dem QR-Code verbirgt (ihr solltet es nicht machen!), dann landet man bei einer Webseite, die die echte Sparkassenseite recht gut nachahmt. Allerdings kann man nur eine PLZ eingeben und sonst nichts auf der Webseite anklicken. Das sollte einen schon stutzig machen.

Um zu sehen, was die Betrüger gemacht haben, damit die Besucher keine Links anklicken können, habe ich mir mal den Quellcode angeschaut und hier gezielt die Links rausgesucht, die rechtlich verpflichtend sind: Impressum und Datenschutz.

Im Quellcode sieht man, dass die Links zwar als Link angelegt sind, aber nur den Linktext und keine Ziel-URL enthalten. So sehen sie aus, wie ein Link, aber können nicht angeklickt werden. Damit sparen sich die Betrüger die Arbeit, die komplette Webseite mit Unterseiten nachzubauen.

Wichtige Links wie Impressum, Datenschutz etc sind nicht aufrufbar, da sie technisch so verändert wurden, dass sie kein hinterlegtes Ziel haben.

WIchtige Links wie Impressum, Datenschutz etc sind nicht aufrufbar, da sie technisch so verändert wurden, dass sie kein hinterlegtes Ziel haben.

Sparkasse-Phishing-Mail erkannt?

Ich hoffe, meine kleine Anleitung zum Erkennen der Sparkasse-Phishing-Mail hilft euch, auch andere „böse“ Mails zu entlarven. Es gibt ein paar Punkte, auf die man achten muss und dann findet man fast bei jeder dieser Mails den „Schwachpunkt“, der sie von einer seriösen Mail unterscheidet.


Wenn mein Beitrag geholfen hat und dir mein Blog unterstützenswert erscheint, würde ich mich über eine Hilfe per Steady oder Buy me a coffee sehr freuen.

12 Kommentare

  1. Michael Bach sagt:

    Vielen Dank! Diese email hatte ich auch bekommen und mich gewundert weil ich letzte Woche eine ECHTE gleichartige hatte. Hatte noch keine Zeit das anzusehen, wer weiß ob ich drauf reingefallen wäre! Vielleicht schon, weil ich immer die Maus über eingebetteten Links "schweben" lasse um zu sehen wo das hinführt, und hier gibt es ja keine.
    Irre, diese Fälschungen werden immer besser. Danke nochmal.

  2. Holger Wittich sagt:

    Hallo,
    ich bin gerade genau darauf reingefallen und habe den qr code gescannt.
    Was nun??

    • Jens Kleinholz sagt:

      Das Scannen des Codes und der Besuch der Webseite ist nicht kritisch. Erst, wenn du anfängst, deine Bankdaten einzugeben, wird es risikoreich.

  3. Jesus Christus sagt:

    Partition von Catalina auf High Sierra.

  4. Andrea Müller sagt:

    Hallo, bin auch darauf reingefallen und habe mit dem Samsung Hand gescannt und dann auf der "Sparkassenseite" meine PLZ eingegeben. Dann "sollte", laut Angaben der Seite, eine Weiterleitung erfolgen. Dies ist gescheitert, es ging nach einiger Zeit der Rödeln ein Fenster auf mit dem Inhalt "Auf die Seite ist nicht zuzugreifen" oder so ähnlich.
    3 Tage später bekomme ich von der Sparkasse einen Brief, dass ich von einem Computer auf das Online-Banking zugegriffen habe, der mit einem Trojaner infiziert ist. Wie haben die sowas gemerkt? Durch meine Eingabe der PLZ oder waren meine Anmeldedaten schon vorher in fremden Händen und die wollten nur durch mich zum Banking geführt werden? Auf meine dahingehende Frage bei der Sparkasse bekam ich die Antwort, dass auf einem Fremdserver meine Anmeldedaten gesichtet wurden.
    Meine Frage ist, ist mein Handy mit dem Trojaner verseucht? Sollte ich mein Handy komplett runterfahren und neu aufsetzen? Oder gibt es einen Trojaner – Scan – Programm?
    PS Die Sparkasse hat jetzt alle Daten geändert und ich bekomme einen neuen Zugang.

    • Jens Kleinholz sagt:

      Hallo Andrea! Leider kenne ich mich mit Samsung/Android nicht aus. Aber ich würde mein Handy sicherheitshalber zurücksetzen und neu anfangen. Einen Trojaner kann man gerade auf dem Smartphone in keinem Fall gebrauchen. Ob es einen Virenscanner gibt, weiß ich auch nicht, aber wenn du ein kostenloses Programm im Google Store findest, welches sich als Virenscanner ausgibt und dann deine Daten abgreift, bist du noch schlechter dran als vorher. Ich würde da kein Risiko eingehen.

  5. Ioana sagt:

    Hallo Jens,

    Das gleiche ist meinem Freund gerade passiert. Soll man ein Iphone zurücksetzen und neu anfangen oder nicht notwendig? Vielen Dank!

    • Jens Kleinholz sagt:

      Hallo Ioana! Bei mir am iPhone konnte das Programm scheinbar nichts ausrichten. Ich denke, da muss man nichts neu installieren. Aber, wenn er vorsichtig ist und ein Backup von den letzten Tagen hat, würde ich es einspielen. Sicher ist sicher.

  6. Anna Samson sagt:

    Hallo Jens,
    nicht nur als Sparkasse Absender werden derartige Mails versandt. Ich habe auch schon solche von Banken bei denen ich kein Konto habe erhalten. Wenn ich dann am iPhone die Absenderadresse antippe, sehe ich gleich unter Andere irgendeine Fantasieadresse. So kann ich diesen Kontakt gleich blockieren und löschen, was mir dann auch am Mac im Mailordner angezeigt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.