Wieder mal bekam ich eine Phishing-Mail von einer vorgeblichen Quelle, bei der ich gar nicht Kunde bin. Das ist der einfachste Teil an der Erkennung. Mozilla Thunderbird hat mich bereits vorab gewarnt (siehe den roten Balken) und daher schon die Darstellung des Bildes unterbunden. Andernfalls wäre an Stelle des Platzhalters zu Beginn das comdirect-Logo eingeblendet worden. Dies wäre übirgens, wie im Quellcode der Nachricht zu sehen ist, von www.zentraler-kreditausschuss.de nachgeladen worden.
Dies ist laut Impressum eine von Nils Kambach betriebene Seite, die sicherlich mit der Comdirect nur insofern zu tun hat, als dass er unter anderem darüber schreibt. Aufgrund der URL des Bildes scheint es eher so, als ob Herr Kambach im August 2018 genau dies getan hat. Und in der Tat wird in diesem Artikel genau dieselbe URL wie in der Mail verwendet, um das Comdirect-Logo darzustellen. Welchen Grund die Comdirect allerdings hätte, ihr eigenes Logo von einer fremden Seite einzubinden statt von der eigenen Domain, erschließt sich mir nicht. Ein Phisher wiederum hätte einen guten Grund, so seine Aktivitäten zu verschleiern.
Aber schauen wir uns zunächst die Original-Mail an – nur als Screenshot, es besteht also keine Gefahr :-)
Schauen wir uns das im Detail an.
Es beginnt mit einem scheinbar hochoffiziellen technischen Betreff mit einer Ticket-Nummer. Das ist inzwischen üblich und daher relativ normal. Dass die eMail-Adresse jedoch neben der Klartextangabe auf hostingkunde.de endet (mit einem zufälligen Namensteil und einer ebenso zufälligen Subdomain), ist für die Commerzbank mehr als seltsam. Da jedoch Outlook (und vermutlich noch weitere Mailprogramme) standardmäßig nur den ersten Teil “info@comdirect.de” anzeigt und die eMail-Adresse unterdrückt, fällt das wohl nicht jedem auf.
Die Formulierung “Sie haben (1) eine neue wichtige Nachricht” ist jedoch seltsam. Die Ziffer 1 in Klammern ist ungewöhnlich und im aktuellen Zusammenhang auch sinnlos.
Im weiteren Verlauf gravierende Schreibfehler: “kundendienst nachricht” in zwei Worten und klein geschrieben, nach “akzeptieren” drei Punkte statt nur einem, “Klicken” groß nach Komma. Das wäre sehr seltsam für eine in Deutschland ansässige Bank, die zweifellos über genügend Muttersprachler/innen verfügt, um solche Fehler nicht zu machen.
Und dann natürlich der Link: Statt wie zu vermuten zu comdirect.de würde dieser zu pompeisightseeing.com führen. Und dort findet der Besucher nun eine Login-Seite vor, die aussieht, als ob sie echt wäre (wieder nur ein Screenshot):
Comdirect-Phishing-Loginseite auf pompeisightseeing.com
Für Kunden der Bank wäre das vermutlich nicht zu unterscheiden. Wer es probieren will, geht auf comdirect.com und klickt rechts oben auf den Login-Button. (Gib die Daten manuell ein, wenn du meinen Links nicht traust – das ist ok für mich!) Täuschend echt, oder? Interessant dabei ist noch, dass der Hinweisblock auf der Phishing-Seite den Besucher bereits auf häufige TAN-Eingaben vorbereitet. Das wäre Blödsinn, denn so würde eine TAN-Liste nur unnötig schnell aufgebraucht – wenn es sowas denn seit PSD2 überhaupt noch gibt.
Der Link auf www.comdirect.de im Adressblock am Ende der Mail führt zu einer Domain “deref-gmx.net”, die laut Whois-Recherche zu 1&1 gehört und wohl irgendwie weiterleitet. Zwei unterschiedliche Ziele für die gleiche Website sind ebenfalls merkwürdig.
Die eMail-Adresse ist nicht verlinkt, erweckt jedoch durch die blaue Farbe diesen Eindruck.
Die Adresse “Untere Donaulände 28, 4020 Linz” führt laut Google zu einer “Oberbank AG”
Für die Telefonnummer scheint man zwar die Ortsvorwahl übernommen zu haben, jedoch hat man die Landesvorwahl frech von +43 in +49 geändert. 0732 gibt es in Deutschland nicht, 07325 wäre Sontheim an der Brenz, aber natürlich nicht Linz. Denn Linz (Oberösterreich) hat zwar die Vorwahl 0732, aber keine +49 (= Deutschland) als Landesvorwahl, sondern, man ahnt es schon +43 (= Österreich).
Und letztlich die Bezeichnung Comdirect PSK eBanking: Dies liefert einen Treffer auf ebanking.bawagpsk.com, die eben mit diesem Begriff firmieren: BAWAK PSK eBanking, interessanterweise mit der selben Schreibweise mit dem roten “e” vor “Banking”. Ob diese Mischung beabsichtigt ist, weiß ich nicht. Ich vermute eher eine effiziente Wiederverwendung einer bereits ausgeführten Phishing-Kampagne zu Lasten der BAWAK.
Lauter gute Gründe, dem Absender der Mail zu misstrauen. Sicherlich ist weder die Comdirect oder die dahinterstehende Commerzbank, noch der oben erwähnte Nils Kambach und vermutlich auch nicht pompeisightseeing.com dafür verantwortlich.
Neueste Kommentare