Per Mail mit dem Betreff „Der Einweisungsprozess ist obligatorisch“ werden ahnungslose Kunden auf eine vermeintliche Kontosperrung hingewiesen. Schaut man sich jedoch den Absender genauer an, stellt man relativ schnell fest, dass lediglich der Anzeigename „Deutsche Bank“ lautet. In unseren Beispielen wurden die Mails in Wahrheit von der Adresse sales@***.co versendet. Die Top-Level-Domain gehört nicht zur Deutschen Bank, sondern zu einem Schlüsseldienst. Der Text ist schlecht geschrieben und die Mail entspricht auf gar keinen Fall der Corporate Identity der Deutschen Bank.
Der Link in der Mail führt uns auf eine auf den ersten Blick gut nachgebaute Seite. Zumindest optisch kann man keinen Unterschied erkennen. Da bei den von uns gemeldeten Fällen, die Seite auf einem gehackten Unternehmenswebserver gehostet wurde, wird diese auch mit einem gültigen SSL-Zertifikat ausgeliefert. Lediglich an der URL könnte man merken, dass es sich hierbei nicht um das Geldinstitut handeln kann. Unter gewissen Umständen, könnte man die Domain aber auch für einen Dienstleister des Unternehmens halten. Beim genaueren Hinsehen fallen auch noch die Menüpunkte ohne Funktion auf. Ein Blick in den Quellcode schafft Gewissheit. Hier gibt es keine Links! Lediglich hinter dem Fake-Loginformular steht eine Funkton, die den Tätern Logindaten und TANs zuspielen sollen.
Leider kann bei solchen Angriffen oft der Virenschutz auch nicht viel ausrichten. Das liegt oftmals nicht an der Qualität der Produkte. Vielmehr ist die schnelle Verbreitung und die manuelle Auswertung durch die Anbieter das Problem. So geht viel Zeit verloren und Angreiferwährendessen wieder eine andere URL oder einen anderen Server gefunden, der vom Phishingschutz noch nicht erkannt wird.
