RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Search in posts
Search in pages

Fakemail im Sparkassen-Look – Ihre PushTAN-Registrierung läuft bald ab

HINWEIS: Dieser Artikel wurde vor über einem Jahr veröffentlicht. Daher kann es sein, dass Links und Bildbeispiele teilweise nicht mehr aktuell sind bzw. von uns oder dem Anbieter entfernt wurden.

Phishing im Bereich von Onlinebanking ist keine Seltenheit mehr. Immer wieder versuchen die Täter mit gefälschten Mails im Aussehen von real existierenden Banken ihre potentiellen Opfer auf die gefälschten Seiten zu locken. Aktuell kursiert eine Mail mit dem Betreff „Ihre PushTAN-Registrierung läuft bald ab“ und soll den Eindruck erwecken, von der Sparkasse zu stammen.

Die angeschriebenen Empfänger werden jedoch nur mit „Sehr geehrter Kunde“ angesprochen. Angeblich würde aus den Kundenunterlagen hervorgehen, dass die S-PushTAN App-Registrierung bald ablaufen würde und man diese nun aus Sicherheitgründen regelmäßig aktualisieren müsse. Ansonsten werde diese ab einem gewissen Datum gesperrt sein. In unserem Beispiel war das Sperrdatum der 06.03.2021. Die Mail der Täter wurde übrigens am 07.03.2021 zugestellt.
Interessant ist, dass die Täter einen QR-Code beigefügt haben, der mit aktuellen Smartphones in der Regel problemlos über die Fotoapp oder QR-Scanner gescannt werden kann. Wer diesen QR-Code scannt, wird über eine Umleitung von z.B. amazonaws.com (Amazon Web Services AWS – Server Hosting  Cloud Services) auf eine gefälschte Seite geführt. Alternativ ist der Link dazu auch direkt anklickbar im Text hinterlegt.

Wird die Phishingseite aufgerufen, dann fällt einem ggf. nichts Gefährliches auf. Die Seite selbst ist nahezu identisch mit einer echten und aktuellen Sparkassenwebseite. Lediglich erfolgt eine Abfrage der eigenen Bank. Wird z.B. Hannover eingegeben, so wird auf der Folgeseite Sparkasse Hannover angezeigt. Zudem sind die weiteren Links auf der gefälschten Webseite nicht anklickbar.

Ein aktueller Webbrowser (z.B. Firefox) bietet hier ggf. eine kleine Schutzfunktion, indem die eigentliche Zieldomain verdeutlicht (z.B. dunkler hervorgehoben) dargestellt wird (Siehe gelbe Balkenmarkierung von uns). In unserem Beispiel wäre es spush-tan.app.
Smartphonenutzer sehen in der Adressleiste auch nur einen gewissen Bereich des Links. Hier erscheint aufgrund des kleinen sichtbaren Bereiches ein Ausschnitt, der sparkasse.de vermuten lässt. Dies ist aber nur ein Bruchteil des Links und nicht die echte Domain, die hinter dem Link steckt. Diese ist in diesem Fall zwar auch sichtbar, wird aber durch die Endung .app ggf. nicht als Domain wahrgenommen.

Nach erfolgreich ausgewählter Filiale landet man im angeblichen Login-Bereich der Sparkasse, wo man zur Eingabe seiner Zugangsdaten aufgefordert wird. Anschließend soll man warten.
Weitere Daten haben wir hier nicht mehr zum Testen eigegeben.


Üblicherweise werden auf den Folgeseiten persönliche und sensible Daten abgefragt. In vereinzelten ähnlichen Fällen wurden die Personen auch zum Upload von Ausweisdokumenten aufgefordert.

Weiterhin dürfen Sie sich nicht auf das Schloss-Symbol im Browser verlassen. Dieses bedeutet lediglich, dass ein hinterlegtes Zertifikat für eine verschlüsselte Datenübertragung sorgt. Bei der gefälschten Seite nutzen die Täter  z.B. den kostenfreien Dienst Let’s Encrypt für die sichere Verbindung aus. Bei der Sparkasse wird z.B. angezeigt, dass das Zertifikat für die „Sparkassen-Finanzportal GmbH“ ausgestellt wurde.

Sparkassen, Banken und Kreditinstitute werden Sie niemals auf diese Weise per Mail auffordern, Ihre Zugangsdaten/Push-TAN Registrierung/persönliche Daten zu aktualisieren. Klicken Sie nicht auf Links oder Anhänge in solchen Mails. Scannen Sie nicht ungeprüft QR-Codes aus solchen Mails. Sollten Sie unsicher sein, so informieren Sie Ihre Bank und klären Sie den aktuellen Sachstand ab. In der Regel können Sie sich über den Ihnen bekannten Link in Ihren Kundenlogin einloggen. Achten Sie dabei, dass nicht versehentlich eine ähnliche Seite aufgerufen wird. Haben Sie z.B. die Phishingseite einmal aufgerufen, so kann diese ggf. beim Eintippen des Links in die Browserzeile vorgeschlagen werden. Ein unüberlegter Klick/Return führt dann auf die gefälschte Seite.

Wenn Sie bereits auf den Link geklickt haben und Zugangsdaten, sowie weitere Daten eingegeben haben, dann informieren Sie unverzüglich Ihre Sparkasse! Lassen Sie Ihren Onlinebanking-Zugang sperren. Erstatten Sie im Anschluss Anzeige bei Ihrer örtlichen Polizei oder über Onlinewache.

Scroll to top