Wenn ich E-Mails von Banken bekomme, gehe ich in der Regel davon aus, dass es Spam oder Phishing ist. Kaum eine Bank vertraut in Bezug auf die Kommunikation mit Kunden noch auf E-Mails, wenn man nicht direkten Mail-Kontakt zu einem bestimmten Mitarbeiter hat.
Meistens klicke ich mich dann durch die Phishing-Mails durch, um zu sehen, was die Betrüger so treiben und ob man als Laie sehen kann, dass es sich um Phishing handelt. Und leider muss ich sagen: die Blödmänner und -frauen, die mit dieser Technik Leute übers Ohr hauen wollen, werden immer besser in ihrem „Business“.
Kapitel in diesem Beitrag:
Betreff: S-PushTAN App Registrierung läuft bald ab
Die Mail, die ich vermeintlich von der Sparkasse erhalten habe, hat folgenden Wortlaut:
Hinweis: Ihre S-PushTAN App-Registrierung läuft bald ab
Sehr geehrter Kunde,
Aus unseren Kundenunterlagen geht hervor, dass Ihre S-PushTAN App-Registrierung bald abläuft. Aus Sicherheitsgründen müssen Sie ihre S-pushTAN-verbindung regelmäßig aktualisieren. Nach der Aktualisierung können Sie wieder problemlos und sicher ihre TANs empfangen. Ihr S-PushTAN App wird nach dem 01.03.2021 gesperrt und Sie müssen den Registrierungsvorgang erneut durchführen.
Wie erneuere ich meine S-PushTAN App-Registrierung?
Erneuern Sie Ihre S-PushTAN App sofort, indem Sie den QR-Code rechts mit der Kamera Ihres Smartphones scannen. Gehen Sie dann die Schritte durch und schließen Sie die Registrierung ab.
[QR Code]
Wir vertrauen darauf, dass wir Sie ausreichend informiert haben.
Mit freundlichen Grüßen
Ihre Sparkasse
Das klingt erstmal fast so, als könne es von der Sparkasse kommen. Auch der QR-Code ist ja durchaus ein probates Mittel, um Menschen es einfach zu machen, komplexe URLs aufzurufen. Aus diesem Grund würde ich erstmal als Laie keinen Verdacht schöpfen.
Warum ein QR-Code?
Die erste Frage, die ich mir gestellt habe: Warum finde ich hier einen QR-Code und nicht einfach einen Link zum Anklicken?
Ganz einfach: Der QR-Code wird von Virenscannern und von Mailprovidern nicht aufgelöst und so wissen diese nicht, dass sich dahinter eine Internetadresse einer „bösartigen“ Webseite verbirgt. Selbst, wenn die Webseite auf die Blacklist kommt, wird nicht erkannt, dass sie in der Mail vorkommt, da es keinen Link im Klartext gibt.
Der zweite gute Grund dürfte sein, dass man durch das Scannen des QR-Codes sehr genau sagen kann, dass die Mehrheit der Leute die Seite mit einem Smartphone aufrufen wird.
Als Angreifer kann man sich also darauf einschießen, dass man es mit hoher Wahrscheinlichkeit mit einem iPhone oder einem Android-Gerät zu tun haben wird. Und ich nehme stark an, dass die Sparkasse-Phishing-Seite auf Android-Nutzer abzielt, da ein Aufruf mit meinem iPhone 12 Pro Max nur ein Ladesymbol hervorgebracht hat. Installieren wollte sich da nichts.
- Mehr lesen: QR Codes mit dem Mac erstellen
- Mehr lesen: Formatierung kopieren: Textformat übernehmen in Word und Pages
- Mehr lesen: droppy.ch – 5 GB Daten ohne Registrierung kostenlos verschicken
E-Mail-Adresse, Schreibfehler und Rechtschreibung als Indizien für Phishing-Mail
Und obwohl mir gleich klar war, dass eine Mail an meine öffentliche info@-E-Mail-Adresse sicherlich von keiner echten Bank kommt, war die Erläuterung in der Mail, warum ich nun den QR-Code scannen sollte, doch überzeugend gemacht. Einzig zwei Schreibfehler sind mir aufgefallen:
- „ihre“ wird bei der Ansprache mit großen „I“ geschrieben
- „S-pushTAN-verbindung“ wird natürlich mit großem „V“ geschrieben
Das ist schon nicht mehr so einfach als Phishing-Mail zu erkennen, wie die Mails, die man vor Jahren erhalten hat, bei denen noch alle deutschen Umlaute im Eimer waren.
Ein weiteres deutliches Merkmal ist die Absender-E-Mail-Adresse, die man mit Apple Mail sehen kann, wenn man die Mail-Adresse anklickt. Hier ist keine E-Mail-Adresse mit @sparkasse.de zu finden, was wiederum als Indiz dafür zu sehen ist, dass hier jemand anderes der Urheber ist.
Zielseite lässt nur die Eingabe der PLZ zu
Ruft man nun die Seite auf, die sich hinter dem QR-Code verbirgt (ihr solltet es nicht machen!), dann landet man bei einer Webseite, die die echte Sparkassenseite recht gut nachahmt. Allerdings kann man nur eine PLZ eingeben und sonst nichts auf der Webseite anklicken. Das sollte einen schon stutzig machen.
Um zu sehen, was die Betrüger gemacht haben, damit die Besucher keine Links anklicken können, habe ich mir mal den Quellcode angeschaut und hier gezielt die Links rausgesucht, die rechtlich verpflichtend sind: Impressum und Datenschutz.
Im Quellcode sieht man, dass die Links zwar als Link angelegt sind, aber nur den Linktext und keine Ziel-URL enthalten. So sehen sie aus, wie ein Link, aber können nicht angeklickt werden. Damit sparen sich die Betrüger die Arbeit, die komplette Webseite mit Unterseiten nachzubauen.
Sparkasse-Phishing-Mail erkannt?
Ich hoffe, meine kleine Anleitung zum Erkennen der Sparkasse-Phishing-Mail hilft euch, auch andere „böse“ Mails zu entlarven. Es gibt ein paar Punkte, auf die man achten muss und dann findet man fast bei jeder dieser Mails den „Schwachpunkt“, der sie von einer seriösen Mail unterscheidet.
Ähnliche Beiträge
Apple Watch für deine Kinder: Hersteller startet neue Sonderseite- iPhone SE 4: Massenproduktion ab Oktober und Feature-Gerüchte
- Apple Karten im Web: Routen, Guides und mehr im Browser
- Was kommt mit iOS 17.6 auf das Apple iPhone?
- CrowdStrike – Wie ein fehlerhaftes Update weltweiten Schaden anrichtete
- Sir Apfelot Wochenschau KW 29, 2024
- Sir Apfelot Wochenschau KW 28, 2024
- Das große Siri-Update soll erst im Frühjahr 2025 kommen
Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.
Vielen Dank! Diese email hatte ich auch bekommen und mich gewundert weil ich letzte Woche eine ECHTE gleichartige hatte. Hatte noch keine Zeit das anzusehen, wer weiß ob ich drauf reingefallen wäre! Vielleicht schon, weil ich immer die Maus über eingebetteten Links “schweben” lasse um zu sehen wo das hinführt, und hier gibt es ja keine.
Irre, diese Fälschungen werden immer besser. Danke nochmal.
Freut mich, dass dir der Artikel gefallen hat.
Hallo,
ich bin gerade genau darauf reingefallen und habe den qr code gescannt.
Was nun??
Das Scannen des Codes und der Besuch der Webseite ist nicht kritisch. Erst, wenn du anfängst, deine Bankdaten einzugeben, wird es risikoreich.
Partition von Catalina auf High Sierra.
Das passt nun wie genau zu diesem Artikel?!? :D
Hallo, bin auch darauf reingefallen und habe mit dem Samsung Hand gescannt und dann auf der “Sparkassenseite” meine PLZ eingegeben. Dann “sollte”, laut Angaben der Seite, eine Weiterleitung erfolgen. Dies ist gescheitert, es ging nach einiger Zeit der Rödeln ein Fenster auf mit dem Inhalt “Auf die Seite ist nicht zuzugreifen” oder so ähnlich.
3 Tage später bekomme ich von der Sparkasse einen Brief, dass ich von einem Computer auf das Online-Banking zugegriffen habe, der mit einem Trojaner infiziert ist. Wie haben die sowas gemerkt? Durch meine Eingabe der PLZ oder waren meine Anmeldedaten schon vorher in fremden Händen und die wollten nur durch mich zum Banking geführt werden? Auf meine dahingehende Frage bei der Sparkasse bekam ich die Antwort, dass auf einem Fremdserver meine Anmeldedaten gesichtet wurden.
Meine Frage ist, ist mein Handy mit dem Trojaner verseucht? Sollte ich mein Handy komplett runterfahren und neu aufsetzen? Oder gibt es einen Trojaner – Scan – Programm?
PS Die Sparkasse hat jetzt alle Daten geändert und ich bekomme einen neuen Zugang.
Hallo Andrea! Leider kenne ich mich mit Samsung/Android nicht aus. Aber ich würde mein Handy sicherheitshalber zurücksetzen und neu anfangen. Einen Trojaner kann man gerade auf dem Smartphone in keinem Fall gebrauchen. Ob es einen Virenscanner gibt, weiß ich auch nicht, aber wenn du ein kostenloses Programm im Google Store findest, welches sich als Virenscanner ausgibt und dann deine Daten abgreift, bist du noch schlechter dran als vorher. Ich würde da kein Risiko eingehen.
Hallo Jens,
Das gleiche ist meinem Freund gerade passiert. Soll man ein Iphone zurücksetzen und neu anfangen oder nicht notwendig? Vielen Dank!
Hallo Ioana! Bei mir am iPhone konnte das Programm scheinbar nichts ausrichten. Ich denke, da muss man nichts neu installieren. Aber, wenn er vorsichtig ist und ein Backup von den letzten Tagen hat, würde ich es einspielen. Sicher ist sicher.
Hallo Jens,
nicht nur als Sparkasse Absender werden derartige Mails versandt. Ich habe auch schon solche von Banken bei denen ich kein Konto habe erhalten. Wenn ich dann am iPhone die Absenderadresse antippe, sehe ich gleich unter Andere irgendeine Fantasieadresse. So kann ich diesen Kontakt gleich blockieren und löschen, was mir dann auch am Mac im Mailordner angezeigt wird.
Hallo Anna! Auch ein guter Tipp, wie man die “Fakes” erkennt. Danke!