WCM Forum - Phishing Mails - E-Mails von Banken bei denen nach Zugangsdaten gefragt wird

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Phishing Mails - E-Mails von Banken bei denen nach Zugangsdaten gefragt wird (http://www.wcm.at/forum/showthread.php?t=179872)

Phishing Mails - E-Mails von Banken bei denen nach Zugangsdaten gefragt wird

Habe heute erstmalig eine E-Mail meiner Bank auf eines meiner E-Mailkonten bekommen, komischerweise nicht auf jenes, welches ich gebenüber der Bank bekannt gegeben habe. Das Mail sieht so aus:

Zitat:

Return-Path: <OnlinePolice@raiffeisen.at>
Received: from mx3.noc.eunet-ag.at (mx3.noc.eunet-ag.at [193.154.160.126])
by imap02 (Cyrus v2.2.12-Red Hat 2.2.12-2tis) with LMTPA;
Sun, 04 Dec 2005 10:11:24 +0100
X-Sieve: CMU Sieve 2.2
Received: from -1216676472 ([221.137.237.16])
by mx3.noc.eunet-ag.at (8.13.0/8.13.0) with SMTP id jB497LQZ007506
for <enjoy@xxxxxxxxxxxxx.at>; Sun, 4 Dec 2005 10:11:14 +0100
Received: from raiffeisen.at (-1209882224 [-1209859280])
by juno.com (Qmailv1) with ESMTP id CFF665CE57
for <enjoy@xxxxxxxxxxxx.at>; Sun, 04 Dec 2005 17:20:17 -0800
From: RaiffeisenBank <OnlinePolice@raiffeisen.at>
To: Enjoy <enjoy@xxxxxxxxxxxxxxxx.at>
Subject: Raiffeisen Bank Account Reactivation
Date: Sun, 04 Dec 2005 17:20:17 -0800
Message-ID: <000001c5f93a$fb251774$53ded0a1@raiffeisen.at>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0032_A981DD5B.C2B64687"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
X-Spam-Checker-Version: MIMEDefang/SpamAssassin2.51
X-Spam-Flag: NO ; 4.82
X-Spam-Level: ****
X-Scanned-By: MIMEDefang 2.51 on 193.154.160.170

Security alert!Sehr geehrte Kundin,
Sehr geehrter Kunde,

Unser Staat ist in eine schwere on - line - Banking - Situation geraten und uns wurde deswegen einen
Rat gegeben, on - line - Konten von unserer Kundschaft zu kontrollieren, um die "Tageskonten" zu bestimmen,
die von den Betrügern benutzt werden konnten, um das Geld von unseren Konten waschen zu können,
die auf unserer offiziellen Web-Seite zu finden sind .

Die Konten, die bis zum 10.12.05 auf unseren Formularen nicht angegeben werden, werden bis zur
Feststellung ihrer Eröffnung und Verwendung sowohl von den Firmenkunden, als auch von den Ptivatkunden blockiert.

Hier steht dann im HTML Mail ein Button der auf die Seite http://banking.raiffeizen.net/ verweist

Wir entschuldigen uns bei Ihnen für die Unannehmlichkeiten, die wir Ihnen bereitet haben.
Wir glauben doch daran, da #223; wir mit Ihnen in der Zukunft auch weiter sehr gut und erfolgreich zusammenarbeiten werden.
ELBA-internet

Copyright by RAIFFEISEN DATENNETZ GESELLSCHAFT M.B.H, Jacquingasse 47, A-1030 Wien

1. verdächtige Hinweis: Die Sprache, ist zwar dem Deutschen ähnlich, aber ...

2. die Seite sieht zwar der Originalen https://banking.raiffeisen.at sehr ähnlich, nur man beachte
http ist nicht gleich https - keine Verschlüsselung auf der gefakten Seite
.net ist nicht gleich .at

Wie immer gilt, dass keine Firma nach Zugangsdaten, Passwörtern, Tan-Nr., etc. per E-Mail fragen wird.
Da könnte man genau so gut auf ein Plakat auf der Straße, welches denselben Text wie diese Mail enthält, seine Daten eintragen.

möchte hier eine Sammelstelle für solche Mails starten, damit man Bekannten auf diese Gefahren hinweisen kann

hab eine Mail an Raiffeisen geschickt, mal sehen, wie lange die brauchen um die Seite sperren zu lassen.

PS: zur Sicherheit

http://banking.raiffeizen.net/ IST NICHT DIE ORIGNIALSEITE DER RAIFFEISENBANK, BITTE KEINE DATEN AUF DIESER SEITE ANGEBEN UND ÜBERMITTELN

weitere Infos unter http://de.wikipedia.org/wiki/Phishing

Hallo enjoy2,
meine Frau ist auch Raiffeisenkundin, ein solches Mail haben wir noch nicht bekommen.
Die Seite http://banking.raiffeizen.net/ gibt die Meldung:

Die Seite kann nicht angezeigt werden.
Die gewünschte Seite ist zurzeit nicht verfügbar. Möglicherweise sind technische Schwierigkeiten aufgetreten oder Sie sollten die Browsereinstellungen überprüfen.

Ich kenne diese Phishing-Versuche aus mehreren Quelle, trotzdem Danke im Namen aller möglichen Geschädigten.
Man kann nie oft genug warnen. :D

Diese Mail hat fast den selben Text wie die Phishing-Mails, die die Erste/Sparkasse bzw. Bawag betroffen haben. Im Whois-Eintrag eine gewisse Sophie Clark, auf die auch eine andere Seite, die via Spam-Mail (eine Art "Job-Scam") erreicht werden sollte, registriert ist.

Siehe hier:

http://www.joewein.de/sw/fraud-job-2005-11.htm

Ob diese Person wirklich existiert, weiß ich nicht. Bei den ersten beiden österreichische Banken betreffenden falschen Domains war das aber sehr wohl der Fall.

Gruß
Wembley

derzeit ist die Seite (wieder) online :(

Zitat:

Original geschrieben von enjoy2
derzeit ist die Seite (wieder) online :(

Sicher nicht in Deinem Cache?
Bei mir geht sie nicht.

Solche eMails erhalte ich seit Monaten fast täglich.
Sie wandern alle ungelesen in den Papierkorb.

Zitat:

Original geschrieben von Klingsor
Sicher nicht in Deinem Cache?
Bei mir geht sie nicht.

Bei mir auch nicht.
5.12.05 20:44h

Bei meiner heutigen Anmeldung bei der Raika kam aber ein Sicherheitshinweis, daß wieder Phishingmails im Umlauf sind; man weiß also davon. :-)

hmm, jetzt ist sie auch bei mir offline ;)

http://www.heise.de/ct/05/22/003/bild.jpg

nettes Bild zu dem Thema :D

Die Spammer verwendeten bei dieser Phishing-Welle auch folgenden Link:

h**p://banking.raffeisen.net

Der ist aber natürlich auch schon offline.

Ergänzend dazu ein Heise Artikel:

Zitat:

eBay fällt auf eBay-Phishing herein
.....
So haben Mitarbeiter des Fraud-Investigation-Teams (FIT), das das Auktionhaus eBay zur Aufklärung von Betrugsfällen eingerichtet hat, eine Phishing-Mail irrtümlich als legitime eBay-Mail klassifiziert.
.....
Dem Bericht zufolge war es dem Auktionshaus lange nicht möglich, die eigentlichen
Server mit den betrügerischen Seiten vom Netz nehmen zu lassen. Die Seiten wurden
anscheinend von einem ausgeklügelten Bot-Netz bereit gestellt, in dem stets neue Rechner
für einen ausgefallenen Server einspringen konnten.

http://www.heise.de/newsticker/meldung/67102

Gruß
Wembley

Siehe hier:

http://www.wcm.at/story.php?id=9151

Die selbe Raiffeisen-Mail wie oben beschrieben, allerdings mit neuer Phishing-Domain:

raiffeiser.net

Gruß
Wembley