Mischformular

Phishing-Attacke auf Sparkassen-Kunden

Kunden der Sparkassen sind zurzeit eine beliebte Zielscheibe für Phishing-Angriffe. Dabei werden die Mails wahllos verbreitet, denn die Absender wissen in aller Regel nicht wer bei welcher Bank Kunde ist. Die Phishing-Mails sind bereits durch ihr schlechtes Deutsch zu erkennen.

Die Sparkassen-Pishing-Mails sind bis zur Unkenntlichkeit der Botschaft aus automatischen Übersetzungen zusammen gestückelt. Frank Rickert berichtet im eleven Security Blog des Berliner Sicherheitsunternehmens über eine aktuelle Phishing-Welle, die scheinbar keinen Link zu einer gefälschten Sparkassen-Seite enthält. Vordergründig ist nur ein Link zur echten Sparkassen-Website erkennbar, der auch tatsächlich dorthin führt.

Fälschung: Pishing-Angriffe gaukeln aktuell Sparkassen-E-Mails vor.
Fälschung: Pishing-Angriffe gaukeln aktuell Sparkassen-E-Mails vor.

Doch im Anhang der Mails findet sich ein HTML-Formular, dessen Quelltext mit Hilfe von Javascript verschleiert ist. Mail-Programme wie etwa Outlook oder Thunderbird, die einen ausgewachsenen Web-Browser zur Interpretation von HTML-Inhalten einsetzen, können Javascript interpretieren und das Formular darstellen. Oft ist jedoch Javascript für Mail deaktiviert – aus gutem Grund.

Größere Teile des Formulars, das Kundendaten abfragt, stammen von der Website der Sparkasse, werden von dort geladen. Andere Teile stammen von einem Server in den USA, wohin auch die eingegebene Daten übermittelt werden. Unter anderem wird auch der zusätzliche Sicherheits-Code für VISA-Karten („Verified by VISA”) abgefragt. Die manipulierten Server, die das eigentliche Formular liefern sollen, wechseln täglich. Meist werden sie recht schnell von dem Phishing-Code bereinigt. Dann bekommen Mail-Empfänger das Formular nicht mehr zu sehen. (PC-Welt/cvi)