Phishing Attacke auf Sparkassenkunden

128-Bit-Verschlüsselung

Betreff:

Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 15:00 Uhr  ·  #16844

Hallo zusammen,

wenn ich das hin bekommen habe müsste sich im Anhang sowohl ein Screenshot des Mails, als auch ein Screenshot des beinhalteten Links befinden.

Besonder fies ist, dass in der Browserleiste immer die Adresse www.sparkasse.de angezeigt wird.

Gruß

// edit von Raimund: Sorry, hab die .doc Dateien deaktiviert, wg. der Virengefahr (nennt mich ruhig paranoid). das rtf-Format sollte funktionieren.

Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.

Mike64

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 15:09 Uhr  ·  #16845

Habe ich heute vormittag schon von jemandem zugemailt bekommen.
Daraufhin bin ich kurz in's Büro und habe Kontakt zur SI aufgenommen
und denen die Mail zugeschickt. Auch an sparkasse.de ist eine Kopie
der Mail gegangen.
Jetzt bin ich gespannt, wie lange die zur Sperrung der Adresse brauchen.

Gruß

Michael

Raimund Sichmann

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 22:58 Uhr  ·  #16851

Ich hab die Bilder mal einzeln kopiert, weil ich vergessen habe, das .doc Format wg. der Makrogefahr zu sperren, sorry wg. der Umstände. Word(-pad) kann rtf, das sollte eigentlich funktionieren.

Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.

Raimund Sichmann

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 17.07.2005 - 22:59 Uhr  ·  #16852

@mike: das nenne ich Einsatz, Hut ab!

10 Tans? Wollen die damit die indizierte TAN-Liste aushebeln, oder was soll das?

Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.

Mike64

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 06:56 Uhr  ·  #16857

Zitat

das nenne ich Einsatz, Hut ab!

Tja Ray, das Stündchen hätte ich mir auch sparen können,
denn bis jetzt ist die Adresse noch nicht gesperrt.

Angel

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 08:34 Uhr  ·  #16858

Du meine Güte, und das um diese Uhrzeit... aber wieder toll formuliert, oder? Grammatikalisch wertvoll... aber das da "Sparkasse.de" steht, bereitet mir ziemliche Bauchschmerzen...

MrNett

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 08:41 Uhr  ·  #16859

Hallo,

es gab gestern noch einen weiteren Angriff und zwar bekam ich eine Mail mit einem gefakten Header von Sparkasse.de mit dem Viruy Mytob dahinter! Also Augen auf!

Cu

Michael

Captain FRAG

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:07 Uhr  ·  #16864

Tja, selbst wenn sie 10 TAN haben, kann man die Indizierung damit nicht aushebeln. Die Menge ist zwar ausreichend um vorwärts zu kommen, aber ohne Positionsangabe ist das ganze sinnlos für den Phisher.
Nur wer hat die indiztierte TAN wirklich schon für alle INET-Kunden im Einsatz?
Ich denke wir brauchen intern noch 2-3 Wochen zur Umstellung der Altkunden, Minimum.

Stoney

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:21 Uhr  ·  #16867

Kann mir einer mal die URL der Phishingseite geben? Die Seite würde mich auch gerade mal wieder für meine Sammlung interessieren... Steht da immer "Sparkasse der Stadt Iserlohn"?

Captain FRAG

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:22 Uhr  ·  #16868

http://219.95.137.134/rpm/

Captain FRAG

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 09:34 Uhr  ·  #16870

Lol, die Seite ist gerade offline gegangen

ELDI-Man

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 10:14 Uhr  ·  #16877

Hallo,

man das geht aber heute echt rund. :shock: Die Mail scheint ja sehr verbreitet zu sein!

Zwei Fragen noch:

1. Die HTTPS-Adresse scheint nur vorgeblendet zu sein. Das sieht jedenfalls nicht ganz astrein aus.

2. Bei einigen hält sich das Eingabefenster hartnäckig im Vordergrund. Man kann es nicht wegklicken, nicht drucken, den Quellcode nicht anschauen. Da wurde wohl mächtig manipuliert.

Viel Spaß an alle Hotliner!

Gruß ELDI-Man

Mike64

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 11:03 Uhr  ·  #16882

Zitat

Bei einigen hält sich das Eingabefenster hartnäckig im Vordergrund. Man kann es nicht wegklicken

Doch, kann man - indem man mehrfach hintereinander auf das Kreuzchen
klickt. So 3 bis 5 mal, dann ist das Fenster zu...

Der Link ist übrigens keine echte https-Seite, denn - zumindest bei mir -
wird keine Verschlüsselung angezeigt.

Gruß

Michael

128-Bit-Verschlüsselung

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 13:41 Uhr  ·  #16896

Zitat geschrieben von Stoney

... Steht da immer "Sparkasse der Stadt Iserlohn"?

Ja!

128-Bit-Verschlüsselung

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 13:47 Uhr  ·  #16897

Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar) und versucht die möglichen gephishten Daten den jeweiligen Sparkassen zur Verfügung zu stellen.

Die Sparkassen Informatik wird zu den Vorfällen Anzeige erstatten.

Captain FRAG

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 14:00 Uhr  ·  #16898

Ja, nur die Angabe 08:15 aus dem SSC aktuell ist ne Mondzeit...
Ich konnte sie bis 09:30 erreichen... nen transparenten Proxy verwendet mein Provider IMHO nicht.

chrischan

Betreff:

ein Server ist noch nicht geschlossen...

 ·  Gepostet: 18.07.2005 - 16:58 Uhr  ·  #16932

Zitat geschrieben von 128-Bit-Verschlüsselung

Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar)....

Scheint sich um mehrere Server zu handeln, der ist noch aktiv:

http://219.96.239.35/rpm/framemain.htm

Captain FRAG

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 17:00 Uhr  ·  #16933

Ja, letzter Stand:

3 Server, 2 dicht, einer noch aktiv.

TheTruth

Betreff:

Re: Phishing Attacke auf Sparkassenkunden

 ·  Gepostet: 18.07.2005 - 17:08 Uhr  ·  #16937

Von der Netcraft Toolbar werden alle Seiten geblockt.

Netcraft Toolbar

klopfer

Betreff:

Re: ein Server ist noch nicht geschlossen...

 ·  Gepostet: 18.07.2005 - 19:50 Uhr  ·  #16945

Zitat geschrieben von chrischan

Zitat geschrieben von 128-Bit-Verschlüsselung

Die Sparkassen Informatik hat den Original-Server in Japan bei dem Provider schließen lassen (seit ca. 08:15 Uhr nicht mehr erreichbar)....

Scheint sich um mehrere Server zu handeln, der ist noch aktiv:

http://219.96.239.35/rpm/framemain.htm

Den genannten Link kann ich jetzt um 19:50 Uhr immer noch öffnen.