Fake E-Mail: „Kundendienst der Sparkasse“ informiert über Tan-Verfahren

Heute Morgen habe ich eine E-Mail bekommen, die von Apple Mail vorsorglich in den Spam-Ordner vorsortiert wurde. Das wunderte mich, denn sie stammte scheinbar von der Sparkasse und informierte zum Tan-Verfahren. Es ging dabei sowohl um PushTan als auch um ChipTan und MobileTan. Weiterhin war die Rede von PushTan 2.0, was die Sparkasse am 13.09.2021 einführen wolle. Zuletzt gab es die Aufforderung, sich über den in der E-Mail eingebundenen Button zu registrieren, um die Neuerungen anzunehmen. Das machte mich stutzig, weshalb ich mir die Mail näher anschaute. Und siehe da: Es ist Phishing und ihr solltet NICHT auf den Button klicken!

Fake: E-Mail von „Kundendienst“ mit Betreff „Sparkasse – Änderung im Tan-Verfahren“

Fake E-Mails von betrügerischen Subjekten sind schon seit Jahren kaum noch von seriösen Mails zu unterscheiden. Auch wenn wir schon öfter mal Ratgeber und Anleitungen zum Thema für das Sir Apfelot Blog geschrieben haben, muss ich selbst immer noch genau hinschauen, um die Masche der Absender/innen zu durchschauen. Beim detaillierten Hinsehen entdeckt man aber recht schnell die Fehler, die eine solche Mail mitbringt oder mitbringen kann:

• Als Absender steht nur „Kundendienst“, was sehr generisch ist
• Dahinter verbirgt sich (in meinem Fall) die E-Mail-Adresse „jochen@si-tech.be“, dich nichts mit der Bank zu tun hat
• Der Informationszeitraum ist zu kurz (es wird am 10.09. über Änderungen zum 13.09. informiert), was nicht seriös ist und die Empfänger/innen nur zum schnellen, unbedachten Klicken auf den Link bringen soll
• Nur die Anrede, der Button und der abschließende Gruß sind wirklich Text; der Haupttext ist als Bild eingefügt – das würde die Sparkasse sicher nicht machen
• Auch wenn der Text beim ersten Überfliegen gut geschrieben wirkt, hier und da finden sich Fehler (Kommafehler, „is“ statt „ist“ und ähnliches)
• Der eingebundene Button führt nicht zur Sparkassen-Webseite (NICHT ausprobieren, sondern nur Maus-Cursor über dem Link hovern lassen, sodass die Link-URL angezeigt wird)
• Die E-Mail enthält kein Impressum und auch keine sonstigen Kontaktdaten

Was ist si-tech.be für eine Webseite?

Ich habe mich gefragt, ob für die E-Mail ein seriöser Name bzw. die E-Mail-Adresse eines Angestellten in einem seriösen Unternehmen aus Belgien (Top-Level-Domain „.be“) missbraucht wurde. Deshalb habe ich mal die in der Mail angegebene Webseite „si-tech.be“ aufgerufen – auch und vor allem, damit ihr es nicht tun müsst. Es stellt sich heraus: Unter dieser URL wurde die Sparkassen-Webseite nachgebaut, einzig und allein, um Anmeldename und PIN bzw. Passwort von unbedarften Nutzer/innen abzugreifen. Alle Links im Menü, im Footer und sonstwo auf der Seite führen nur zu der einen Landingpage, auf der Phishing betrieben wird.

Der E-Mail-Text: Phishing als „Sparkassen“-Nachricht getarnt

Hier einmal der Text aus der E-Mail, damit ihr seht, wie perfide aktuell vorgegangen wird. Vielleicht hilft die Erwähnung des Textes auch allen, die über eine Suchmaschine danach suchen, hierher zu gelangen und die Phishing-Warnung zu sehen: 

[…] mit der heutigen Online-Mitteilung, informieren wir Sie über alle Änderungen am Tan-Verfahren Ihrer Sparkasse.

Da Ihre Sicherheit im Online-Erlebnis der Sparkasse bei uns höchste Priorität hat, erfolgt am 13.09.2021 die Aktualisierung der Tan-Verfahren.

Einmal die Änderung im Tan-Verfahren für Sie im Überblick:

• Das PushTan-Verfahren wird aktualisiert und zudem wird die Sicherheit verbessert – ab dem 13.09.2021 ist für Sie nach erfolgreicher Umstellung das PushTan 2.0 Verfahren verfügbar.
• Außerdem wird das ChipTan-Verfahren ebenfalls aktualisiert – hierfür is kein neues Kartenlesegerät notwendig. 
• Das MobileTan-Verfahren (kurz mTan-Verfahren) wird am 13.09.2021 deaktiviert und durch das neue PushTan 2.0 Verfahren ersetzt.

Um die Umstellung so problemlos wie möglich durchzuführen, ist Ihre Mithilfe erforderlich. Bitte registrieren Sie sich über den unten geführten Button vorab für die Umstellung auf das neue Tan-Verfahren.

Es handelt sich hierbei um eine Pflichtumstellung für jeden Sparkassen-Kunden. Nur somit können wir Ihnen weiterhin die volle Sicherheit gewähren. […]

Wie euch sicherlich auffällt, sollen der kurze Zeitraum von drei Tagen sowie Formulierungen wie „Pflichtumstellung“ und „Nur somit können wir Ihnen weiterhin die volle Sicherheit gewähren“ einen gewissen Druck aufbauen. Die Empfänger/innen sollen dazu gebracht werden, schnell zu handeln und nicht über die E-Mail als solche nachzudenken. Das ist eine immer wiederkehrende Masche, um über das Phishing so viele Login-Daten wie möglich abzugreifen, bevor die Phishing-Webseite im Sparkasse-Look vom Netz genommen wird.

Was tun, wenn ich eine Phishing-Mail im Namen der Sparkasse erhalte?

Wenn ihr eine E-Mail bekommen habt, die nach Sparkasse aussieht, aber nicht von der Sparkasse ist, dann leitet sie direkt an warnung@sparkasse.de weiter. Danach wird die Mail ausgewertet und die Phishing-Seite (hoffentlich) vom Netz genommen. Auf das Weiterleiten an die genannte Adresse gibt es dann eine vorgefertigte Antwort. Die erhaltene Fake-Mail könnt ihr anschließend löschen, damit ihr nicht zum späteren Zeitpunkt aus Versehen auf den Link klickt.

Zum Schluss der Hinweis: Bleibt vorsichtig und klopft solche Mails immer nach Fake- und Phishing-Hinweisen ab! Ruft zur Not bei der Sparkasse (oder dem jeweils anderen vermeintlichen Absender) an und fragt, ob eine solche Mail herausgegeben wurde.

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.