Phishermans Friend — per Post zum Datenklau.

Die neueste Masche der räuberischen Datendiebe hat es wirklich in sich.

Phishing Mails sind eine Sache, auf das wir dank breit gefächerter medialer Informationen und einem unserer letzten Sicherheitsartikel mittlerweile gut informiert sind.

Aber wie heißt es im Song „Banküberfall“ der    österreichischen Beatkapelle „EAV“ so schön:

„…das Böse ist immer und überall“.

Darum wird es heute gehen.

Die Geschichte haben wir anfangs selbst nicht glauben wollen, als wir darauf stießen, wie die neusten Maschen funktionieren.

Stellen sie sich vor:

Sie kommen von der Arbeit nach Hause, öffnen nichts ahnend ihren Postkasten und finden einen Brief ihrer Hausbank darin.

Jeder der sich die Kontoauszüge heute noch in Papierform schicken lässt, denkt sich erstmal nichts dabei.

Informationsschreiben sind auch keine Seltenheit.

Der Brief wurde sogar frankiert, also bezahlt!  

Auf den ersten Eindruck erstmal ein harmloses Daherkommen dieses Anschreibens.

Der Brief sieht tatsächlich so echt aus, dass es selbst für erfahrene IT-Experten nicht auf den sofort erkennbar war, dass dieser Brief eine Falle ist. Im Schreiben erklärte die Bank, dass eine Überprüfung der Daten zum Foto-Tan- Verfahren notwendig ist, und der Kunde möchte den abgedruckten QR-Code scannen und sich mit seinen Bankdaten anmelden, um die Echtheit der Daten der Person zu überprüfen.

Auch Menschen, die ihre Bankangelegenheiten per App oder Online abwickeln, kennen solche Code-Briefe von der Bank, um z.B. ein neues Handy oder Authentifizierungsverfahren freizuschalten.

Unterschrieben war der Brief von zwei hochrangigen Führungskräften der jeweiligen Bank.

Selbst die im QR-Code verlinkte Seite sah bei erster Betrachtung noch seriös aus.

Erst auf den zweiten Blick, erkannten wir die Weiterleitung auf eine externe Website.

Die beiden Unterschriften gehörten tatsächlich zum Top-Management der Bank. Allerdings waren diese bereits zwei Jahre zuvor aus dem Unternehmen ausgeschieden.

Selbst wenn sie noch tätig gewesen wären, hätten diese ein solches Schreiben nie mit ihrer Signatur versehen.

Einzig die Tatsache, dass die betroffene Person kein Kunde dieser Bank war (sein Vater – selbe Anschrift wäre es gewesen), lies Ihn stutzig werden als auch der Fakt, dass er kein Foto-Tan benutzte.

Ob es bei dem Brief zur genauen Überprüfung gekommen wäre, wenn dieser stattdessen an den Vater adressiert worden wäre, ist fraglich. Dieser wäre vermutlich gutgläubig in die Falle getappt.

„Es kam ja per Post!“ „Das kann ja kein Betrugsversuch sein?!“.
So seine Reaktion auf unsere „Was wäre gewesen, wenn?“ Frage.

Andere Masche: Sie erhalten einen Steuerbescheid Ihres Finanzamtes

Sie erhalten Post vom Finanzamt. Es handelt sich um Ihre Steuererklärung bzw. vielmehr eine Aufforderung zur Nachzahlung eines geringen 3-stelligen Betrages. Das Schreiben selbst in der vom Finanzamt üblichen Form gehalten – in Schrift, Farbton des Papiers und sogar mit dem obligatorischen Siegel versehen. Der Betrugsversuch erzeugt durch die Postzustellung einen hohen vertrauenswert. Zusätzlich will man in der Regel bei dem Finanzamt keine Schulden haben. Der relativ geringe Betrag, der gefordert wird, erhöht ebenfalls das Risiko des „schnellen Handelns“ ergo „Bezahlen“.

Auch dieser Betrugsversuch ist erkennbar: 

• Betrugsversuch ist erkennbar:
• Kontrollieren Sie die angegebenen Steuernummern     
• Kontrollieren Sie die Angaben zum Finanzamt (Anschrift, Telefonnummern)     
• Im Zweifel lieber bei Ihrem Finanzamt direkt nachfragen