Heute möchte ich ein Beispiel für eine äußerst gelungene Phishing-Mail zeigen, die derzeit versucht, Inhaber von Barclaycard-Kreditkarten zur Herausgabe ihrer Daten zu bewegen. Anders als sonst häufig üblich ist die Qualität des Angriffs an allen Punkten sehr hoch, so dass es dem ungeübten Anwender schwerfallen dürfte, den Angriff als solchen zu erkennen – wenn er denn nicht weiß, dass E-Mails von Banken und Kreditkarteninstituten grundsätzlich nicht mit Links zu Webseiten arbeiten sollten.
Die E-Mail erscheint auf den ersten Blick sehr glaubwürdig:
Phishing E-Mail für Barclaycard-Benutzer
Als (gefälschter) Absender erscheint email hidden; JavaScript is required. Daran gibt es zunächst nichts auszusetzen. Der Adressat wird korrekt mit Vor- und Nachnamen angesprochen. Er wird in recht passablem Deutsch, das nur hier und da nicht ganz der erwarteten Qualität einer Ansprache durch eine Bank entspricht, darauf vorbereitet, umfassende Daten über sich abzugeben.
Der blaue Knopf „Weiter zur Überprüfung“ ist mit einer verkürzten Adresse verknüpft, die sogar mit https beginnt (https://goo.gl/…). Wer gelernt hat, auf https als Zeichen für eine sichere und legitime Verbindung zu achten, URL-Verkürzungen aber nicht erkennt, könnte auch hier noch von einer legitimen E-Mail ausgehen.
Folgt man der URL, landet man auf einer perfekten Kopie einer Barclaycard-Webseite:
Barclaycard-Phishingseite
Diese Seite wirkt absolut glaubwürdig. Allerdings fällt auf, dass die Adresse in der Leiste des Browsers oben äußerst lang und unverständlich wirkt. Das hilft den Verbrechern dabei, ihr Ziel zu verschleiern, denn man muss schon sehr genau hinschauen, um zu erkennen, wo man ist.
Die Verbindung ist hier nicht mehr über https gesichert, es handelt sich um eine normale Verbindung. Das ist für eine Bank bereits unüblich und nach deutschem Recht zudem nicht einmal mehr erlaubt. Die eigentliche Domäne lautet in voller Länge:
Wer Internet-Adressen nicht gut versteht, sieht vielleicht vor allem den Teil banking.barclaycard.de, der korrekt aussieht, so als wäre es eine Subdomäne „banking“ der legitimen Domäne „barclaycard.de“. Aber tatsächlich wäre das nur dann eine korrekte Domäne, wenn das nächste Zeichen ein / wäre. Es ist aber ein Bindestrich. Tatsächlich heißt die Domäne de-vorgangsnummer-vdpsx2jz, verwendet die Domänenendung .top (und nicht etwa .de) und hat eine Subdomäne banking.barclaycard. Das ist höchst clever gemacht, besser lässt sich der Angriff kaum verschleiern.
Wenn Sie mehr darüber wissen möchten, wie Internet-Adressen aufgebaut sind und wie Sie derartige Angriffe erkennen können, lesen Sie meinen diesbezüglichen Beitrag Wie sind Webseiten-Verknüpfungen aufgebaut?.
Wenn man auf dieser Seite irgend einen Link außer „Login“ anklickt, wird dieselbe Seite einfach neu geladen. An dieser Stelle haben sich die Verbrecher keine ausreichende Mühe gegeben. Trägt man irgendwelche Daten im Login-Fenster ein, lässt aber z.B. das Passwort weg, wird sogar korrekt gewarnt, dass die Daten unvollständig sind. Aber natürlich kommt man mit frei ausgedachten Daten durch den Login und landet auf einer Seite, die umfangreiche weitere Informationen abfragt:
Datendiebstahl-Formular
Selbst hier finden noch ein paar Plausibilitätstests statt, z.B. wird die Kreditkartennummer geprüft. Eine zufällige Zahlenfolge in der richtigen Länge reicht nicht aus, um weiter zu kommen. An dieser Stelle habe ich die Erforschung daher abgebrochen.
Natürlich muss sich diese Masche des Datendiebstahls nicht auf Barclaycard beschränken, entsprechendes wird sicher für jedes Kreditkarteninstitut und für ähnliche Zwecke in Zukunft auftauchen. Machen Sie sich daher mit dem hier gezeigten Beispiel vertraut, um selbst nicht in die Falle zu tappen, wenn Sie eine solche E-Mail erhalten.
War dieser Beitrag für Sie nützlich? [thumbs-rating-buttons]
