Phishingmails im Namen der Volksbanken

Immer wieder werden wieder Phishingmails im Namen der Volksbanken bzw. der Fiducia versendet. Ziel dieser Phishingwellen ist oftmals die Infektion der Empfänger-PCs oder mobilen Endgeräte (Smartphones / Tablets) mit Online-Banking-Trojanern oder sonstiger Schadsoftware. Inzwischen gibt es viele unterschiedliche Varianten von betrügerischen Mails mit angehängter  Schadsoftware oder Links auf Internetseiten mit Schadcode.

Phishingmail: Aufforderung, angebliche Sicherheitsapp zu installieren

(März 2018)

In einer aktuellen Phishingmail werden die Empfänger aufgefordert, eine angebliche Sicherheits-App zu installieren.

Folgt man dem Link in der Mail, wird man auf einer Phishingseite aufgefordert, Login-Daten und weitere personenbezogene Daten einzugeben.

Bisher haben wir keinen Hinweis darauf, dass über die Seiten auch Schadcode verteilt wird - trotz der Aufforderung, eine App zu installieren.

GEODO-Phishingmasche: Abbuchung

Neben der Masche "Depositeinzahlung" wurde uns eine weitere GEODO-Phishingmasche bekannt, bei der eine Abbuchung von einem Konto suggeriert wird. Auch hier wird die Mail im Namen der Fiducia versendet und ist mit "Volksbank" unterzeichnet.

Die Mail wird u. a. mit dem Betreff "Auffällige Kontobewegung" versendet.

Zurückgezogene Depositeinzahlung

Es ist wieder ein neues Pattern für Phishingmails der aktuellen GEODO-Welle aufgetaucht. In diesem Fall wird eine zurückgezogene Depositeinzahlung als Grund angegeben. Die uns vorliegende Mail wird im Namen der Sparkasse versendet, vermutlich sind aber auch Mails mit Absender Fiducia bzw. Volksbank im Umlauf.

Phishingmails mit hohen Zinsen

Beispiel für Phishingmail mit hohen Zinsen
Beispiel für Phishingmail mit hohen Zinsen

Die Links in dem blauen Kasten verweisen dabei auf reale Webseiten der Fiducia. Der Link auf den angeblichen Einlagenzins hingegen verweist wieder auf unterschiedliche Webserver, die Schadcode verteilen. Über diesen Schadcode wird anschließend der Online-Banking-Trojaner "GEODO" nachgeladen.

Parallel sind auch wieder Phishingmails im Namen der Telekom und der Sparkassen im Umlauf, die technisch auf die selbe Weise funktionieren.

Phishingmails mit Bestellbestätigung

Die Betrüger, die das GEODO-Botnetz betreiben, welches unter anderem Phishingmails im Namen der Fiducia und der Volksbanken versendet, haben am Wochenende eine neue Variante der Phishingmails in Umlauf gebracht. Diese neue Methode suggeriert eine Bestellbestätigung.

Beispiel Phishingmail mit Bestellbestätigung
Beispiel Phishingmail mit Bestellbestätigung
Beispiel Phishingmail mit Bestellbestätigung
Beispiel Phishingmail mit Bestellbestätigung
Beispiel Phishingmail mit Bestellbestätigung
Beispiel Phishingmail mit Bestellbestätigung

Wie bei den letzten aufgetretenen Phishingmails im Namen der Fiducia ist es auch hier so, dass man beim Klicken auf den eingebetteten Link auf einer Webseite landet, die einen Online-Banking-Trojaner verteilt.

Möglicherweise wird über die aktuellen Phishingmails auch teilweise direkt Schadcode verteilt.

Auch andere Unternehmen werden nicht verschont

Weitere betroffene Unternehmen sind beispielsweise:

  • Telekom
  • Vodafone
  • Sparkassen
  • Weltbild
Beispiel für eine Telekom-Phishing-Mail
Beispiel für eine Telekom-Phishing-Mail

Auf den Webseiten, auf welche die betrügerischen Mails verweisen, ist in allen Fällen der gleiche Schadcode hinterlegt. Daher macht es keinen Unterschied, ob die Mailempfänger auf die Masche der angeblichen Telekommails, der angeblichen Volksbankenmails oder der angeblichen Sparkassenmails hereinfallen. Da der hinterlegte Trojaner modular aufgebaut ist, lädt er das passende Interface nach, sobald ersichtlich ist, welches Online-Banking der Benutzer über seinen PC verwendet. Somit wird auch das Online-Banking der Volks- und Raiffeisenbanken angegriffen, wenn ein Benutzer beispielsweise einen Link in einer angeblichen "Weltbild-Mail" anklickt.