Zum Inhalt springen
Thomas Spielwiese

Thomas Spielwiese

Zu viel um über alles zu schreiben

SPAM: Achtung – Kontoprobleme (Postbank)

Postbank Mobil TAN BetrugFake
Postbank Mobil TAN BetrugFake

[tawarning align=“right“] Mit nur einem Bild und einen Link in der E-Mail versuchen die Betrüger ihre Opfer über das Mobile TAN-Verfahren der Postbank zu melken. Grundsätzlich setzt dies voraus, dass die Empfänger externe Inhalte wie Bilder automatisch nachladen lassen, was keine sichere Einstellung des Mail-Clients ist. Automatisches Nachladen, so praktisch es auch ist, gehört auf den Schrotthaufen der unsicheren Funktionen.

In diesem Artikel will ich kurz beschreiben, wie es weitergeht, wenn man den Anweisungen der Betrüger folgt.

Postbank Mobil TAN BetrugFake
Postbank Mobil TAN BetrugFake

Das obige Bild ersetzt den Text in einer Mail. Ziel ist, nicht als Spam erkannt zu werden.

Mail Text

Zur Dokumentation führe ich den Text aus dem E-Mail-Bild hier an:

Sehr geehrter Postbankkunde,

Postbank hat von seinen Kunden mehrere Beschwerden über das MobileTAN System erhalten. Die Unzufriedenheit seiner Kunden ist daß die Mobile TAN nicht immer zur Zeit ankommt.

Postbank will das MobileTAN System verbessern und hat demnach den Zugang dazu blockiert um einen Test durchzuführen. All Kunden die ihr MobileTAN System freigeben möchten, müssen den von und vorgegebenen Schritten folgen. Um ihr MobileTAN System freizugeben loggen Sie sich bitte sobald wie möglich in ihr Konto ein.

Anmerkung: Erstellt mit gocr und manueller Korrektur; Zeilenumbruch von mir.

Der Link in der Mail führt durch mehrfache Umleitung – in einem Fall muss ich per Hand nachhelfen, da die letzte Weiterleitung nach http://infoauth.eauth.net/../pbmail4code/…/do.html stoppt – zu einer gefälschten Anmeldeseite der Postbank auf infoauth.eauth.net (nsc64.16.142-198.newsouth.net. IP 64.16.142.198), die aus einem iframe besteht, der durch ein php-Script erzeugt wird. Zwar habe ich kein Postbankkonto, aber ich versuche es trotzdem mit zufälligen Zahlen für ein Konto um zu sehen, wie dieser Phishing-Versuch weitergeht.

Weiterleitung per Meta-Tag

Wer den Link in der Mail aufruft, der wird mehrfach weitergeleitet. Mit dem folgenden (gekürzten) Meta-Tag bricht die Weiterleitungsfolge bei mir in Firefox kurz vor dem Ziel ab.

<meta HTTP-EQUIV=’REFRESH‘ content=’0; url=http://infoauth.eauth.net/…/pbmail4code/…/do.html‘>

Ich rufe die Seite auf indem ich die Adresse (url=http://infoauth.eauth.net/) markiere und in die Adresszeile des Browsers kopiere. Zu keiner Zeit werde ich von Firefox gewarnt, dass ich mich auf einer Phishing Seite befinde. Auch Virustotal findet keinen Fehl an der Seite. Gegen Versuche diese Seiten mit wget abzurufen scheinen die Betrüger Vorkehrungen getroffen zu haben. Vielleicht haben sie auch Vorkehrungen gegen die Prüfung durch Virenscanner im Netz getroffen. Wie einfach es ist, eine sichere Seite zu werden, hatte ich in einem früheren Artikel beschrieben. Aber so tief möchte ich nicht in die Details eindringen, deshalb nutze ich weiter den Firefox für die Untersuchungen.

Gefälschte Anmeldeseite

Die gefälschte Anmeldeseite ist kaum vom Original zu unterscheiden. Nur die Adresse in der Adresszeile passt nicht zur Postbank und eine gesicherte Verbindung wird auch nicht genutzt.

Gefälschte Anmeldeseite
Gefälschte Anmeldeseite

Im jeweils zweiten Versuch werden die meine Daten akzeptiert und ich lande auf der folgenden Seite, auf der ich nach einer E-Mail-Adresse gefragt werde.

E-Mail-Adressabfrage

Nun möchten die Betrüger noch eine E-Mail-Adresse von mir. Ich hätte als nächsten Schritt auf die Abfrage einer Mobilfunknummer gewettet, aber da habe ich gefehlt. Vielleicht kommt diese Abfrage im nächsten Schritt.

Abfrage der E-Mail-Adresse
Abfrage der E-Mail-Adresse zur Teilnahme am Test.

Nun auch diese Seite fülle ich mit einer E-Mail-Adresse aus, die ich als Honigtopf verwende. Die Eingabe endet leider entweder mit einem Fehler 404 oder durch Zeitüberschreitung, so dass die Frage wie es hier weiter geht unbeantwortet bleiben muss.

Fazit

Entweder waren meine Kontodaten nicht verwendbar oder der Betrug endet hier aus anderen Gründen. Wenn ich kein Sonderfall bin, der nicht funktioniert, dann war deise Welle harmlos.

Genug für heute

Veröffentlicht am 4. April 2014Von Thomas
Kategorisiert als Account Allerts, Nepper, Postbank, SPAM, Trojaner, Viren, Würmer und anderes Getier Verschlagwortet mit Betrug, Kontoüberprüfung, MobileTAN, mTAN, Pishing, Postbank, Spam

Beitragsnavigation

Vorheriger Beitrag

SPAM: Personalagentur auf der Suche nach Mitarbeitern.

Nächster Beitrag

Kultur im Himmeroder Hof 2014

Neueste Beiträge

  • Test
  • Hallo Welt!
  • Curvature of the Earth: Eight inches per mile squared?
  • How to debunk evidence of a flat earth (2)
  • How to debunk evidence of a flat earth

Neueste Kommentare

  1. Ein WordPress-Kommentator zu Hallo Welt!
  2. Suizide 2021 – Byggvir of Barley zu Übersterblichkeit – Excess Mortality – Teil 1
  3. Übersterblichkeit – Excess Mortality – Teil 2 – Zeitreihen – Byggvir of Barley zu Übersterblichkeit – Excess Mortality – Teil 1
  4. Peter Beyer zu Wichtige Mitteilung der HCC GmbH
  5. Übersterblichkeit – Excess Mortality – Teil 1c – Byggvir of Barley zu Übersterblichkeit – Excess Mortality – Teil 1a

Archive

  • März 2024
  • August 2023
  • Juli 2023
  • Mai 2023
  • April 2023
  • März 2023
  • Februar 2023
  • Januar 2023
  • Dezember 2022
  • November 2022
  • Oktober 2022
  • August 2022
  • April 2022
  • März 2022
  • Februar 2022
  • September 2021
  • August 2021
  • April 2021
  • März 2021
  • Februar 2021
  • Januar 2021
  • Oktober 2020
  • September 2020
  • August 2020
  • Juli 2020
  • März 2020
  • November 2019
  • Oktober 2019
  • Juli 2019
  • Juni 2019
  • April 2019
  • Januar 2019
  • Dezember 2018
  • November 2018
  • Oktober 2018
  • August 2018
  • Juli 2018
  • Juni 2018
  • Mai 2018
  • März 2018
  • November 2017
  • September 2017
  • Juni 2017
  • Februar 2017
  • Januar 2017
  • Juli 2016
  • April 2016
  • März 2016
  • Februar 2016
  • Dezember 2015
  • November 2015
  • Oktober 2015
  • September 2015
  • August 2015
  • Juli 2015
  • Juni 2015
  • Mai 2015
  • April 2015
  • März 2015
  • Februar 2015
  • Januar 2015
  • Dezember 2014
  • November 2014
  • Oktober 2014
  • September 2014
  • August 2014
  • Juli 2014
  • Juni 2014
  • Mai 2014
  • April 2014
  • März 2014
  • Februar 2014
  • Januar 2014
  • Dezember 2013
  • November 2013
  • Oktober 2013
  • September 2013
  • August 2013
  • Juli 2013
  • Juni 2013
  • Mai 2013
  • April 2013
  • März 2013
  • Februar 2013
  • Januar 2013
  • Dezember 2012
  • November 2012
  • Oktober 2012
  • September 2012
  • August 2012
  • Juli 2012
  • Juni 2012
  • Mai 2012
  • April 2012
  • März 2012
  • Februar 2012
  • Januar 2012
  • Dezember 2011
  • November 2011
  • Oktober 2011
  • September 2011
  • August 2011
  • Juli 2011
  • Juni 2011
  • Mai 2011
  • April 2011
  • März 2011
  • Februar 2011

Kategorien

  • Abmahnwelle RedTube
  • Account Allerts
  • Aktienempfehlungen
  • Allgemein
  • Amazon
  • Apache2
  • Arbeitsangebote
  • Barfuß
  • Binary Broker
  • Blackhole
  • Blogging
  • Card Reader
  • Casino
  • COVID-19
  • DHL
  • e-Tickets
  • eFAX
  • Excess mortality
  • FAX
  • Flache Erde
  • Flat Earth
  • fortune
  • Fotografie
  • Fraud
  • Freifunk
  • Gehen
  • Geräte
  • Geschichten
  • Google-Frage
  • Hobby
  • Hotel Reservierungen
  • Informationstechnik
  • iPad
  • Kameras
  • KDE
  • Kernkraft
  • Klimawandel
  • kmail2
  • Konzertfotografie
  • Kostenlose Angebote
  • Kryptographie
  • Kultur im Himmeroderhof
  • Kultur in Bonn
  • Leute
  • Libyen
  • Linux
  • Lotus Notes
  • Mahnung
  • Mahnungen und Vorladungen
  • Mail
  • Moneyplex
  • Nepper
  • Nigeria
  • NTP
  • Onlien Shops
  • openSUSE
  • Parteien
  • Partnersuche
  • PayPal
  • Phishing
  • Physik
  • Politik
  • Postbank
  • Programmierung
  • Raspberry Pi
  • Raspbian
  • Rechnungen
  • Religion
  • Risiko
  • Roulette
  • Scam
  • Schaufenster
  • Sex Facebook 18+
  • Shootings
  • Sonstiges
  • SPAM
  • SpamAssassin
  • Sparkasse
  • SQL-Datenbanken
  • Statistik
  • Stillleben
  • Suchmaschinen
  • Telefonrechnung
  • TFP
  • Tierfotografie
  • Trojaner
  • Übersterblichkeit
  • Un-Sinniges
  • UPS
  • USPS
  • Versandmitarbeiter
  • Verschwörungstheorien
  • Viren, Würmer und anderes Getier
  • VISA
  • Wahlen
  • Wallstreet Trick
  • Warenlieferungen
  • WEB 2.0
  • Web-Server
  • WeTab
  • Wiki
  • WordPress
  • Wordpress
  • Wordpress
  • WP Plugins
Thomas Spielwiese
Stolz präsentiert von WordPress.