Postfinance/Yellownet Phishing

SwiZZ

SwiZZ

Angesehenes Mitglied
ACHTUNG ACHTUNG phishing am laufen.

QUOTE Sehr geehrte Nutzer der Yellownet,

wir freuen uns Ihnen neue Informationen über die Sicherheit im Internet erteilen zu dürfen.

Bitte lesen sie es aufmerksam!

Weltweit gilt das Online-Banking durch access card (Streichliste) als eines der sichersten Legitimations-Verfahren für Online-Bankgeschafte. Dennoch gab es in letzter Zeit immer wieder Versuche, auf betrugerische Art und Weise das Geld von Postfinance Kunden ins Ausland zu überweisen.

Leider ist uns momentan das Verfahren, dass die Betrüger benutzen, nicht bekannt.

Um unsere Kunden von Betrüger zu schützen, hat unser Sicherheitsteam für neue Schutzmassnahmen entschieden.

Beachten sie bitte, dass die Einsetzung dieser Schutzmassnahmen erforderlich für alle Yellownet Nutzer ist!

Um diese Massnahmen einführen zu können, müssen sie 20 Sicherheitsnummer aus ihrer aktuellen Streichliste eingeben.

Folgen sie bitte diesen Link, um Ihr Konto bei der Postfinance zu authentifizieren -


Folgender Link ist auf der Newsletter. http://203.197.118.69:8081/index.php?email=*****

Tracepath auf der IP gibt ein domain in Indien.



 
yep kann ich bestätigen, bekamen auch gleich 3 stk davon. absender sitzt in russland
 
Mehrfach in den letzten Wochen.

Beim ersten bin ich auf die Webseite von den Gelben und hab nach einer Emailadresse gesucht, um es ihnen mitzuteilen.
War keine da, ergo entschied ich, wär nicht mein Problem.
 
Es geht ja seit kurzem wieder das berühmte Phishing bei Yellownet rum. Ich habe mal die Informationen zusammengestellt (Phishing-Mail, Screenshots, Trace-Route, Whois-Query ...); ist ja, denke ich mal, trotzdem mal interessant, so etwas auch mal live zu sehen. Mit ein bisschen Glück könnt ihr sogar immer noch auf die Seite zugreifen und euch das mal anschauen, wie die Betrüger arbeiten.

Hier zuerst einmal das Email, dass ich erhalten habe - markant sind wie immer die Rechtschreibfehler (wobei ich finde, dass man sich bei diesem Exemplar mehr Mühe gegeben hat):
http://nano45.com/phishing-yellownet/email.jpg

... hier die Login-Seite der Phishing-Site. Wie immer: Die Aufmachung sehr gekonnt und professionell - ich hoffe, dass die meisten Phishing-Filter greifen bei den nicht so erfahrenen Benutzern. Thunderbird hat es bei mir auf jeden Fall sofort gemeldet.
http://nano45.com/phishing-yellownet/login.jpg

Zum Vergleich hier noch ein Screenshot der originalen Yellownet-Seite:
http://nano45.com/phishing-yellownet/original-seite.jpg

... ein Teil des Source-Codes der Phishing-Seite - wurde anscheinend ganz billig mit einem dieser Web-Grabber-Programme generiert:
http://nano45.com/phishing-yellownet/sourcecode.jpg

Nach dem Login werden die Access-Codes abgefragt. Das Script bemerkt sogar, wenn die Codes von der Länge her nicht stimmen *g* - dreist halt.
http://nano45.com/phishing-yellownet/access-codes.jpg

... und man bedankt sich dann selbstverständlich beim Kunden für sein entgegengebrachtes Vertrauen
smile.gif

http://nano45.com/phishing-yellownet/thanks.jpg

Danach hab ich gleich mal über die Trace-Route die IP zurückverfolgt - hier das Ergebnis:
http://nano45.com/phishing-yellownet/traceroute.jpg

... und eine Whois-Abfrage zeigt uns dann schliesslich, bei welchem Provider die Domain denn registriert wurde.
http://nano45.com/phishing-yellownet/whois.jpg

Grüsse, Rico
smile.gif
 
Eine E-Mailadresse kenne ich nicht.
Aber wenn jemand reingefallen ist und die Sicherheitsnummern weitergegeben hat, sollte sofort anrufen ...
QUOTE Tel. 0848 880 480 (Mo - Fr 08.00 - 20.00 Uhr // Sa 09.00 - 16.00 Uhr)
Tel. 0848 888 877 (ausserhalb Öffnungszeiten)


Postfinance ist aber mittlerweile sehr gut auf Phishing-Attacken vorbereitet. Die sind ja nicht das erste mal mit diesen Problemen konfrontiert.
 
Hallo Rico,

es ist interessant gewesen, das einmal verfolgen zu können. Vielen Dank für Deine Mühe!
 
Danke für dein Feedback. Genau darum hab ich es auch in dieser Weise einmal dokumentiert. Ich meine - es wird viel über phishing im Netz erzählt und auch davor gewarnt. Aber leider hat man viel zu wenig die Möglichkeit, es einmal etwas detailierter zu betrachten.
 
Genial, finde ich, dass auf dieser Seite (http://nano45.com/phishing-yellownet/access-codes.jpg) bei Infoermationen noch steht, dass Postfinance nur Signierte Emails verschickt. Das Phishing Mail war sicher nicht signiert ;-)
 
... scheint ja wirklich zu einem sehr lästigen Problem zu werden. Je professioneller die Phishing-Attacken sind, desto eher geärt das Online-Banking in Verruf. Denn die Professionalisierung von Phishing ist um einiges schneller derzeit als das Wissen der einzelnen Online-Banking-Kunden über zertifizierte Seiten etc.

Der Text auf Netzwoche ist in ungefähr der Gleiche, den ich auch erhalten habe.
 
Alles schön und gut (danke für die Doku!), aber um darauf rein zu fallen muss man schon ein ganz besonderer Voll-Spaten sein...

Und jedes kleine Kind weiß doch mittlerweile, dass Banken NIEMALS IRGENDWAS das mit der Sicherheit bzw. den Codes und TANs zu tun hat über EMail verschicken?!

Scheinbar fallen aber immer noch genug Leute drauf rein, sonst würden sie den Rotz ja nicht weiter verschicken... Hab auch grad erst vor paar Minuten eine von der angeblichen Raiffeisen-Bank gelöscht... Dabei hab ich da nichtmal ein Konto...
wink.gif
 
@mcbrite
Selbstverständlich gebe ich dir Recht - in dieser Hinsicht sind *wir* hier auf dem Board sicher leichtgläubig und würden nicht auf eine solche Email eingehen. Das lässt unsere Erfahrung schon gar nicht zu.

Ich kenne jedoch auch viele Leute, die das Online-Banking benutzen, ohne mit den diversen Feinheiten wie der Zertifizierung der Seiten vertraut zu sein. Ich finde es schlimm, dass die Schweizerische Postfinance das noch so klar informieren kann - und es immer noch Leute gibt, die darauf reinfallen.

Betrachten wir die Email und die Seite einmal von der anderen Seite - als Benutzer ohne grosse Erfahrung, bei dem der Rechner einfach läuft und er dank Microsoft und google sich stolz *internet-pro* nennt (wir wissen alle, dass es solche Leute gibt). So ein Benutzer denkt sich, wenn er die IP in der Adresszeile sieht, dass das wohl eine "technische Rafinesse" der schweizerischen Post sein wird.

... daher können diese Leute doch froh sein, dass Phishing nun doch durch viele Programme auch erkannt wird - da kann man nur hoffen, dass die Leute die Warnmeldungen dann auch lesen und nicht einfach als *störend* wegklicken.
 
QUOTE Ich finde es schlimm, dass die Schweizerische Postfinance das noch so klar informieren kann


Dies muss ich dementieren. Erhielt sogar vor längerer Zeit mal einen Schriftlichen Brief von der Post Finance bezüglich Phishing.
 
@grunet
Wir meinen genau das Gleiche - du hast nur meinen Satz aus dem Kontext gerissen
wink.gif
- mit dem folgenden Satz will ich ausdrücken, dass die Post es zwar kommuniziert, aber die Kunden die Informationen nicht aufnehmen.

QUOTE Ich finde es schlimm, dass die Schweizerische Postfinance das noch so klar informieren kann - und es immer noch Leute gibt, die darauf reinfallen.
 
Aber wie so Post Finance 'klar informieren' als mit einem schriftlichen Brief?
Sie können ja schlussendlich auch nichts dafür, dass die Kunden die Informationen entweder nicht lesen oder hald gleich wieder vergessen.
 
Ja - da bin ich ganz deiner Meinung. Ich abe überhaupt nichts gegen die Art, wie sie informieren. Meine Kritik richtet sich in erster Linie an die Kunden, welche nicht die benötigte Achtung und Sorgfalt für diesen Themenbereich aufwenden.
 
Jeder, der schon einmal Endkunden telefonisch betreut hat weiss, wie bodenlos dumm einige sind.
Und es genügt, dass ein Kunde auf die Masche der Betrüger reinfällt. Dann hat es sich für sie bereits gelohnt.

Beruhigend ist, dass diese Phishing-Mails immer tonnenweise Syntax- und Rechtschreibfehler enthalten.
Es gibt in Rumänien (und dort, wo die sonst noch diese Betrügereien betreiben) offensichtlich wenig deutschsprachige Personen.
 
ich frag mich auch, wieso Streichlisten überhaupt noch eingesetzt werden.

Vor 5 Jahren ok...aber heute gibt es viel sicherere Verfahren um Online-Banking zu betreiben.

Vorbildlich ist hier die UBS. Einfach, sicher und kriminelle Spielchen wie Phishing etc. sind auch nicht möglich.

Gruss space
cool.gif
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben