Mischformular
Phishing-Attacke auf Sparkassen-Kunden
Die Sparkassen-Pishing-Mails sind bis zur Unkenntlichkeit der Botschaft aus automatischen Übersetzungen zusammen gestückelt. Frank Rickert berichtet im eleven Security Blog des Berliner Sicherheitsunternehmens über eine aktuelle Phishing-Welle, die scheinbar keinen Link zu einer gefälschten Sparkassen-Seite enthält. Vordergründig ist nur ein Link zur echten Sparkassen-Website erkennbar, der auch tatsächlich dorthin führt.
Doch im Anhang der Mails findet sich ein HTML-Formular, dessen Quelltext mit Hilfe von Javascript verschleiert ist. Mail-Programme wie etwa Outlook oder Thunderbird, die einen ausgewachsenen Web-Browser zur Interpretation von HTML-Inhalten einsetzen, können Javascript interpretieren und das Formular darstellen. Oft ist jedoch Javascript für Mail deaktiviert – aus gutem Grund.
Größere Teile des Formulars, das Kundendaten abfragt, stammen von der Website der Sparkasse, werden von dort geladen. Andere Teile stammen von einem Server in den USA, wohin auch die eingegebene Daten übermittelt werden. Unter anderem wird auch der zusätzliche Sicherheits-Code für VISA-Karten („Verified by VISA”) abgefragt. Die manipulierten Server, die das eigentliche Formular liefern sollen, wechseln täglich. Meist werden sie recht schnell von dem Phishing-Code bereinigt. Dann bekommen Mail-Empfänger das Formular nicht mehr zu sehen. (PC-Welt/cvi)