Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Bereits seit Ende August konnten dabei mehrere großangelegte Angriffskampagnen festgestellt werden, die mittels gefälschter Webseiten den Diebstahl von Zugangsdaten für das Online-Banking zum Ziel haben. Betroffen sind hier insbesondere Kunden der Sparkassen sowie der Volksbanken.
Neben Privatkunden zielen die Cyberkriminellen bei diesen noch immer andauernden Phishing-Kampagnen auf deutsche Unternehmen verschiedener Branchen ab, aber auch Mitarbeiter ausländischer Organisationen mit Sitz in Deutschland gehören zu den Empfängern der Phishing-Mails. Die dabei verschickten Nachrichten enthalten angebliche Informationen zur Kontoverwaltung sowie zusätzlich einen Link bzw. QR-Code, mit deren Hilfe das potenzielle Opfer auf eine gefälschte Webseite gelockt werden soll. Diese gefälschten Bank-Webseiten sind mittels Geo-Fencing-Techniken so präpariert, dass nur Nutzer aus Deutschland zur jeweiligen Phishing-Seite weitergeleitet werden. Alle anderen landen auf einer Webseite, die vorgeblich Touristeninformationen über eine Sehenswürdigkeit liefert.
Bei ihren Phishing-Kampagnen imitieren die Angreifer sowohl die Webseiten der Sparkasse als auch die der Volksbank. Die Cyberkriminellen haben es bei ihren Kampagnen auf Informationen zur jeweiligen Niederlassung der Bank, den Benutzernamen sowie die PIN bzw. das Passwort der potenziellen Opfer abgesehen. Zur Verschleierung der tatsächlichen gefährlichen URLs der gefälschten Webseiten nutzen die Täter ausgeklügelte Weiterleitungstechniken. Zudem greifen sie in verschiedenen der beobachteten Kampagnen auf kompromittierte Wordpress-Seiten zurück, um Opfer auf die Phishing-Landingpages umzuleiten.
Die Cyberkriminellen hosten die gefälschten Webseiten auf einer von ihnen selbst kontrollierten Infrastruktur und verwenden dabei Domain-Namen, die denen der imitierten Webseiten ähneln. So beginnen beispielsweise die Phishing-URLs für Sparkassen-Zugangsdaten häufig mit „spk-„, während die Volksbank-Imitate mit „vr-“ beginnen.
Proofpoint empfiehlt allen Nutzern grundsätzlich die Web-Adresse ihrer Bank im Browser einzutippen und nicht auf Links in E-Mails zu klicken. Gleiches gilt zweifelsohne auch für WhatsApp-Nachrichten oder SMS.
Im Folgenden finden sich zur Veranschaulichung einige Screenshots der von den Angreifern verbreiteten Phishing-E-Mails:
www.proofpoint.com/de