Phishing Attacke auf Sparkassenkunden

 
128-Bit-Verschlüsselung
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Stuttgart
Beiträge: 34
Dabei seit: 12 / 2004
Betreff:

Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 15:00 Uhr  ·  #1
Hallo zusammen,

wenn ich das hin bekommen habe müsste sich im Anhang sowohl ein Screenshot des Mails, als auch ein Screenshot des beinhalteten Links befinden.

Besonder fies ist, dass in der Browserleiste immer die Adresse www.sparkasse.de angezeigt wird.

Gruß

// edit von Raimund: Sorry, hab die .doc Dateien deaktiviert, wg. der Virengefahr (nennt mich ruhig paranoid). das rtf-Format sollte funktionieren.
Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.
Mike64
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 495
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 15:09 Uhr  ·  #2
Habe ich heute vormittag schon von jemandem zugemailt bekommen.
Daraufhin bin ich kurz in's Büro und habe Kontakt zur SI aufgenommen
und denen die Mail zugeschickt. Auch an sparkasse.de ist eine Kopie
der Mail gegangen.
Jetzt bin ich gespannt, wie lange die zur Sperrung der Adresse brauchen.

Gruß

Michael
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8170
Dabei seit: 08 / 2002
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 22:58 Uhr  ·  #3
Ich hab die Bilder mal einzeln kopiert, weil ich vergessen habe, das .doc Format wg. der Makrogefahr zu sperren, sorry wg. der Umstände. Word(-pad) kann rtf, das sollte eigentlich funktionieren.
Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8170
Dabei seit: 08 / 2002
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 22:59 Uhr  ·  #4
@mike: das nenne ich Einsatz, Hut ab!

10 Tans? Wollen die damit die indizierte TAN-Liste aushebeln, oder was soll das?
Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.
Mike64
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 495
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 06:56 Uhr  ·  #5
Zitat
das nenne ich Einsatz, Hut ab!


Tja Ray, das Stündchen hätte ich mir auch sparen können,
denn bis jetzt ist die Adresse noch nicht gesperrt. 😢
Angel
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 41
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 08:34 Uhr  ·  #6
Du meine Güte, und das um diese Uhrzeit... aber wieder toll formuliert, oder? Grammatikalisch wertvoll... aber das da "Sparkasse.de" steht, bereitet mir ziemliche Bauchschmerzen...
MrNett
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 08:41 Uhr  ·  #7
Hallo,

es gab gestern noch einen weiteren Angriff und zwar bekam ich eine Mail mit einem gefakten Header von Sparkasse.de mit dem Viruy Mytob dahinter! Also Augen auf!

Cu

Michael
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:07 Uhr  ·  #8
Tja, selbst wenn sie 10 TAN haben, kann man die Indizierung damit nicht aushebeln. Die Menge ist zwar ausreichend um vorwärts zu kommen, aber ohne Positionsangabe ist das ganze sinnlos für den Phisher.
Nur wer hat die indiztierte TAN wirklich schon für alle INET-Kunden im Einsatz?
Ich denke wir brauchen intern noch 2-3 Wochen zur Umstellung der Altkunden, Minimum.
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:21 Uhr  ·  #9
Kann mir einer mal die URL der Phishingseite geben? Die Seite würde mich auch gerade mal wieder für meine Sammlung interessieren... Steht da immer "Sparkasse der Stadt Iserlohn"?
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:22 Uhr  ·  #10
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:34 Uhr  ·  #11
Lol, die Seite ist gerade offline gegangen
ELDI-Man
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: tief im Süden
Beiträge: 1046
Dabei seit: 07 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 10:14 Uhr  ·  #12
Hallo,

man das geht aber heute echt rund. :shock: Die Mail scheint ja sehr verbreitet zu sein!

Zwei Fragen noch:

1. Die HTTPS-Adresse scheint nur vorgeblendet zu sein. Das sieht jedenfalls nicht ganz astrein aus.

2. Bei einigen hält sich das Eingabefenster hartnäckig im Vordergrund. Man kann es nicht wegklicken, nicht drucken, den Quellcode nicht anschauen. Da wurde wohl mächtig manipuliert.

Viel Spaß an alle Hotliner!

Gruß ELDI-Man
Mike64
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 495
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 11:03 Uhr  ·  #13
Zitat
Bei einigen hält sich das Eingabefenster hartnäckig im Vordergrund. Man kann es nicht wegklicken


Doch, kann man - indem man mehrfach hintereinander auf das Kreuzchen
klickt. So 3 bis 5 mal, dann ist das Fenster zu...

Der Link ist übrigens keine echte https-Seite, denn - zumindest bei mir -
wird keine Verschlüsselung angezeigt.

Gruß

Michael
128-Bit-Verschlüsselung
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Stuttgart
Beiträge: 34
Dabei seit: 12 / 2004
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 13:41 Uhr  ·  #14
Zitat geschrieben von Stoney
... Steht da immer "Sparkasse der Stadt Iserlohn"?


Ja!
128-Bit-Verschlüsselung
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Stuttgart
Beiträge: 34
Dabei seit: 12 / 2004
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 13:47 Uhr  ·  #15
Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar) und versucht die möglichen gephishten Daten den jeweiligen Sparkassen zur Verfügung zu stellen.

Die Sparkassen Informatik wird zu den Vorfällen Anzeige erstatten.
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 14:00 Uhr  ·  #16
Ja, nur die Angabe 08:15 aus dem SSC aktuell ist ne Mondzeit...
Ich konnte sie bis 09:30 erreichen... nen transparenten Proxy verwendet mein Provider IMHO nicht.
chrischan
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Sachsen
Beiträge: 12
Dabei seit: 07 / 2005
Betreff:

ein Server ist noch nicht geschlossen...

 ·  Gepostet: 18.07.2005 - 16:58 Uhr  ·  #17
Zitat geschrieben von 128-Bit-Verschlüsselung
Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar)....


Scheint sich um mehrere Server zu handeln, der ist noch aktiv:

http://219.96.239.35/rpm/framemain.htm
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 17:00 Uhr  ·  #18
Ja, letzter Stand:

3 Server, 2 dicht, einer noch aktiv.
TheTruth
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 187
Dabei seit: 03 / 2003
Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 17:08 Uhr  ·  #19
klopfer
 
Avatar
 
Betreff:

Re: ein Server ist noch nicht geschlossen...

 ·  Gepostet: 18.07.2005 - 19:50 Uhr  ·  #20
Zitat geschrieben von chrischan
Zitat geschrieben von 128-Bit-Verschlüsselung
Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar)....


Scheint sich um mehrere Server zu handeln, der ist noch aktiv:

http://219.96.239.35/rpm/framemain.htm


Den genannten Link kann ich jetzt um 19:50 Uhr immer noch öffnen.
Gewählte Zitate für Mehrfachzitierung:   0