Aktuelle Phishingmaschen

Vermehrte Phishingattacken gegen Sofortüberweisung und Zahlungsverkehrssoftware

Hinweise auf vermehrte Phishingattacken gegen Sofortüberweisung und Zahlungsverkehrssoftware

Die Fiducia & GAD hat Hinweise darauf erhalten, dass aktuell vermehrt Phishingattacken gegen Sofortüberweisung und Zahlungsverkehrssoftware stattfinden.

Phishingmails im Namen von VR-Banken

Phishingmails im Namen von VR-Banken mit personenbezogenen Daten

Seit Kurzem sind neue Phishingmails im Umlauf, die unter dem Absender "Volksbank" versendet werden. In der Mail werden teilweise auch personenbezogene Adressdaten angegeben.

Malware spioniert PC nach Zahlungsverkehrssoftware aus

Malware spioniert PC nach Zahlungsverkehrssoftware aus

In den letzten Wochen wurden vereinzelt Fälle gemeldet, bei denen der PC des Anwenders nach Zahlungsverkehrssoftware ausspioniert wurde. Hinweise auf eine Manipulation der Software gibt es bisher nicht.

Phishingmails angeblich im Namen von Giropay

Phishingmails angeblich im Namen von Giropay

Wir wurden darüber informiert, dass wieder Phishingmails mit dem angeblichen Absender „GiroPay AG“ versendet werden. Im Anhang befindet sich eine gezippte Datei.

Betrugsversuche: Wechsel des TAN-Verfahren

Betrugsversuche: Wechsel des TAN-Verfahren

Es wurden kürzlich Betrugsversuche registriert, bei denen Kriminelle nach dem Erbeuten von Zugangsdaten zum Online-Banking schriftlich bei dem jeweils entsprechenden Geldinstitut den Wechsel des TAN-Verfahrens beantragten. Hierbei handelte es sich um einen Wechsel von Sm@rtTAN plus hin zu mobileTAN mit Handynummer der Kriminellen.

Recycling alter Masche - Mails im Namen von VR Banken

Phishingmails im Namen von VR - Recycling alter Masche

Derzeit wird eine bekannte Phishingmasche wiederverwendet, um Zugangsdaten zu Konten und ggf. auch Kreditkartendaten abzuphishen. Die Mails werden hierbei im Namen von "VR" verschickt.

[Update 17.05.2016]: Kreditkartendatenphishing im Namen der VR-Banken

Kreditkartendatenphishing im Namen der VR-Banken

Aktuell werden Phishingmails im Namen der VR-Banken versendet. Ziel ist offenbar das Abphishen von Kreditkartendaten.

[Update 17.05.2016] Eine weitere Masche ist seit dem Wochenende verteilt worden. Den Links in den Mails nach handelt es sich um die gleichen Hintermänner. Diesmal wird eine angebliche Systemumstellung als Grund angegeben.

 

Masche "Rücküberweisung" - Neues Layout

Für die bekannte Phishingmasche "Rücküberweisung" ist ein neues Layout im Umlauf. Im vorliegenden Fall wird eine versehentliche Überweisung durch das Finanzamt vorgetäuscht.

[Update 17.05.2016] Die Masche scheint aktuell verstärkt genutzt zu werden, wir wurden von mehreren Banken über entsprechende Fälle informiert. Die Masche kann sowohl im Namen des Finanzamts als auch im Namen des Zolls angewandt werden.

[Update 09.05.2016]: Kreditkartendatenphishing im Namen der VR-Banken

Kreditkartendatenphishing im Namen der VR-Banken

Aktuell werden Phishingmails im Namen der VR-Banken versendet. Ziel ist offenbar das Abphishen von Kreditkartendaten.

[Update 09.05.2016] Die aktuelle Phishingwelle läuft kontinuierlich weiter, teilweise mit leichtmodifizierten Inhalten in den Phishingmails (siehe Beispiel unten).

[Update 22.04.2016]: Kreditkartendatenphishing im Namen der VR-Banken

Kreditkartendatenphishing im Namen der VR-Banken

Aktuell werden Phishingmails im Namen der VR-Banken versendet. Ziel ist offenbar das Abphishen von Kreditkartendaten.

[Update 22.04.2016] Es sind auch betrügerische Links im Umlauf, die äußerlich an die valide eBanking-URL angepasst wurden. Ein uns bekanntes Beispiel ist http://finanzportal.fiducia.de.p08pepe.entry.rzid.1836.trackid.piwikxxxxxxxxxxxxxxxxxxxxxx
/test/.x/vr/index.php (Teile der URL wurden ausge-x-t). Die Ąhnlichkeit mit der eBanking-URL machen erfolgreiche Angriffe wahrscheinlicher. Falls Ihnen weitere URLs bekannt werden senden Sie diese bitte an phishmon@fiducia.de, es wird dann ein Takedown der betrügerischen URL eingeleitet.

Schadcode im Namen von Giropay verschickt

Schadcode im Namen von Giropay verschickt

Aktuell werden unter anderem im Namen von Giropay, aber auch im Namen anderer Unternehmen angebliche Rechnungen versendet. Die Mails enthalten eine gezippte Datei, in der sich der Schadcode befindet.

Wieder Phishingmails im Namen der VR-Banken

Eine Phishingwelle ähnlich der im Februar diesen Jahres liefert aktuell Mails aus, die angeblich im Namen der Volks- und Raiffeisenbanken erstellt wurden. Auffällig ist diesmal eine angeblich deutsche Postanschrift auf französisch.

Personalisierte Phishingmails im Namen von Banken

Aktuell werden angeblich im Namen der Postbank Phishingmails verschickt, bei denen der Empfänger persönlich angesprochen wird.

CCC-Vortrag über pushTAN-Manipulation

In seinem Vortrag auf dem diesjährigen Chaos Computer Congress (32C3) demonstrierte Vincent Haupert Schwachstellen, die er bei der Untersuchung der pushTAN-App der Sparkassen ausfindig gemacht hatte. Die Schwachstellen lassen sich möglicherweise auch bei anderen Apps zum Empfangen von TAN-Nummern ausnutzen.

Phishingmails im Namen der Volksbanken Raiffeisenbanken

Mehrere Banken weisen darauf hin, dass Phishingmails im Namen der Volksbanken Raiffeisenbanken im Umlauf sind. Die Mails suggerieren, dass die PIN für das Telefon-Banking aus Sicherheitsgründen geändert werden müsse. [Update #1] Inzwischen liegen Originalmails zur Analyse vor.

Neue Welle: Phishingmails angeblich im Namen von DHL

Aktuell werden wieder Mails angeblich im Namen von DHL versendet. Die Mails erinnern an eine der GEODO-Wellen und haben den Zweck, einen Downloader für weiteren Schadcode auf dem System des Empfängers zu installieren. Der Downloader lädt den Schädling "ZeuS" nach.

Android Malware greift per "Overlay-Angriff" (Clickjacking) an

Aktuell wird eine Android-Malware verbreitet, die beim Starten von legitimen Apps auf Android Smartphones zusätzliche Inhalte einblendet. Ziel können hierbei auch Banking-Apps der Fiducia & GAD sein.

Bisher ist die Verbreitung der Malware, die die Angriffe durchführt, in Deutschland noch sehr gering. Uns sind aktuell keine Fälle bekannt, in denen Kunden der VR-Banken betroffen waren.

"Rücküberweisung" - in neuen Layout

Für die bekannte Phishingmasche "Rücküberweisung" ist ein neues Layout im Umlauf. Im vorliegenden Fall wird eine versehentliche Überweisung durch das Finanzamt vorgetäuscht.

Die Methode, dem Anwender eine vermeintlich versehentliche Überweisung vorzugaukeln, um diesen anschließend zur Autorisierung einer Überweisung zu bewegen, ist nicht neu. Seit 2011 wird die Masche der "Rücküberweisung" immer wieder beobachtet.

Derzeit wird die Masche mit einem uns bisher unbekannten Layout verwendet:

"Aufall Betriebssystem"

Unbekannte Phishingmasche: "Ausfall Betriebssystem"

Bei einer Kundin einer VR-Bank wurde eine bisher unbekannte Phishingmasche beobachtet. Hierbei wird direkt nach dem Login ins Online-Banking eine angebliche Störungsmeldung eingeblendet und Daten abgefragt.

Betrugsmasche mit zweiter SIM-Karte

Betrugsmasche mit zweiter SIM-Karte: SZ meldet neue Variante

Die Süddeutsche Zeitung (SZ) meldet eine neue Variante der Phishingmethode, bei der eine zweite SIM zu einem Handy verwendet wird. Nach Recherche der SZ gaben Betrüger sich gegenüber der Telekom als Mobilfunk-Shops aus und konnten so Ersatz-SIM-Karten bestellen. Diese passten zu Handynummern, die für das mobileTAN-Verfahren verwendet werden.

Parallele Infektion von zwei Kanälen

Parallele Infektion von zwei Kanälen -mögliche Variante für Mac und iPhone

Die bisher hauptsächlich bei Windows-Rechnern und Android-Smartphones beobachtete Masche wird inzwischen möglicherweise auch für die Kombination aus Mac und iPhone verwendet.

Ein der Fiducia & GAD bekannt gewordener Phishingfall legt nahe, dass inzwischen beide Kanäle des Online-Bankings parallel kompromittiert werden können, wenn zwei Apple-Geräte zum Einsatz kommen.

Falsche PayPal-App kapert Smartphones

Durch das Herunterladen einer gefälschten PayPal-App ist es Betrügern möglich, Nutzerdaten von Mobile-Banking-Diensten, aber auch kompletten Zugriff auf das Android-Smartphone zu erhalten.

Die Betrüger verschicken Spam-Nachrichten im Namen des Online-Dienstes PayPal, in denen sie zur Installation eines Updates für eine Banking-App auffordern.

Androhung von DDoS-Attacken gegen deutsche Banken

Die Erpresser verlangen von den kontaktierten Unternehmen die Zahlung von 50 Bitcoins innerhalb von sieben Tagen (entspricht derzeit etwa 10.000 Euro). Mit jedem Tag Verzug würde sich die Summe verdoppeln, zudem würde man eine DDoS-Attacke (Distributed Denial of Service mutwillig erzeugte Überlastung des Bankservers) starten und dies auch öffentlich machen.

Spam im Namen von "Cotap"

Aktuell werden flächendeckend Spam-Nachrichten mit dem Betreff " You ve been added as a contact on Cotap" versendet. Urheber der Mails ist offenbar das Unternehmen "Cotap" selbst.

Phishingmails im Namen der Volksbanken

Aktuell werden im Namen der Volksbanken Phishingmails versendet. Die in der Mail hinterlegte Webseite unter "aktualisieren" ist derzeit jedoch nicht erreichbar. Vermutlich handelt es sich um klassisches Phishing.

Angebliche Sicherheits-App für Android-Handys

Angebliche Sicherheits-App für Android-Handy

Online-Banking-Trojaner versuchen wieder via Social Engineering, Benutzer von infizierten PCs dazu zu bringen, eine schädliche App auf ihrem Smartphone zu installieren. Diesmal ist es ein Adroid-Schädling. Die App stammt angeblich von dem Sicherheitsunternehmen "RSA Security LLC".

"Microsoft-Trojaner"

Neue Variante der "Microsoft-Trojaner"

Die Methode, bei denen angebliche Microsoftmitarbeiter wegen vermeintlicher Computerprobleme bei Benutzern infizierter PCs anrufen, hat eine neue Variante erhalten. Die Betrüger imitieren sogenannte Blue Screens auf den PCs und blenden hierbei zusätzlich Telefonnummern ein.

Wird einem Benutzer ein solcher angeblicher "Blue Screen" angezeigt und er wendet sich daraufhin an die vermeintliche Hotline, werden dem Benutzer u. a. überflüssige Dienstleistungen aufgedrängt. Die "Blue Screens" selber werden mit schadhaftem Javascript oder durch Adware erzeugt.

Bisher gibt es keinen Hinweis darauf, dass die Methode auch zum Abphishen von Online-Banking-Konten verwendet wird. Aufgrund früherer Methoden aus diesem Bereich ist eine solche Entwicklung jedoch zu erwarten.

Phishing-Mails im Namen von ebay

Wieder personalisierte Phishingmails im Namen von eBay

Wie bereits im Februar diesen Jahres werden aktuell wieder Phishingmails versendet, die angeblich von eBay stammen. Teilweise haben diese Mails auch unseren Spamfilter passiert. Die Mails sind personalisiert und nutzen die aktuelle Trennung von PayPal und eBay als Vorwandt, Daten abzuphishen.

Phishing-Mails im Namen von VR Banken wegen "Inaktivität"

Wieder Phishing-Mails im Namen von VR Banken

Aktuell kursieren Phishingmails, die augenscheinlich im Namen der Volks- und Raiffeisenbanken versendet werden. Die Mail verlinkt auf eine Webseite, in der das Finanzportal nachgestellt ist.

Phishingmail "wirbt" mit Banking-Browser

Phishingmail "wirbt" mit Banking-Browser VR-Protect - Trojaner im Anhang

Uns liegt eine Phishingmail vor, in der Betrüger im Namen einer Volksbank den Banking-Browser
VR-Protect anpreisen. Ein in der Mail eingebetteter Link geht auch tatsächlich auf die korrekte Internetpräsenz der Volksbank. Die im Anhang befindliche exe-Datei ist jedoch ein Trojaner.

Update Phishing-Mails im Namen von VR Banken

Wieder Phishing-Mails im Namen von VR Banken

Seit Mai 2015 werden wieder Phishing-Mails mit dem angeblichen Absender "Volksbanken Raiffeisenbanken" verteilt. Das angehängte Formular leitet Eingaben wie in den ersten beiden Wellen auch an Phishing-Webserver weiter, die diesmal in der Türkei gehostet werden.