Wichtige Mitteilung: Phishing-Mail von info@sparkasse.de will eingescannte Unterschrift als Bilddatei

Soeben traf ein Klassiker bei mir ein: eine Phishing-Mail für Sparkasse.de von (angeblich) info@sparkasse.de (teils auch konto@sparkasse.de).
So schaut der Phish aus:

Phishing-Mail von sparkasse.de

Noch 'besser' ist aber die Seite, die man erreicht, wenn man auf den Link in diesen Phishing-Mail klickt - denn da will man nicht nur Ihre Zugangsdaten (Anmeldedaten plus PIN), gnihihi, sondern verlangt allen Ernstes, dass Sie Ihre eingescannte Unterschrift hochladen (bruhaha). So irre ist hoffentlich niemand!?!

Was tun bei Phishing?

Es gilt wie stets:

  • Niemals schreiben Banken, dass der Zugang demnächst ablaufen würde, geschlossen würde, sich ändern würde und man sich deswegen anmelden müsse!
  • Niemals schreiben Banken, dass irgendwelche Daten abgeglichen, überprüft oder authentifiziert werden müssten und man sich deswegen anmelden müsse!
  • Niemals schreiben Banken, dass Sie sensible Daten (Telefonnummer, Kontonummer, PIN, TAN, Unterschrift als Scan...) einfach so eingeben sollen – weder per E-Mail, noch per Telefon oder an der Haustür! (Das ist ja das schöne: Wenn man von den Brüdern was will, muss man in der Filiale betteln...)
  • Auch nicht wegen einer SEPA-Umstellung. Entweder, die Bank hat alle Ihre Daten umgestellt; oder Sie müssen alles machen wie bisher, nur eben mit anderen Zahlen. Aber die kommen nicht zu ihnen und verlangen, dass Sie sich anmelden, um auf SEPA umzustellen.
  • Laden Sie niemals Ihre eingescannte Unterschrift irgendwo hoch!
  • So oder so:
    Melden Sie sich stets nur manuell an, also indem Sie die URL Ihrer Sparkasse von Hand eingeben, zum Beispiel: http://www.sparkasse.de/ und dann den Button "Onlinebanking" (oder wie er bei Ihrer Bank heißen mag) benutzen. Gerne würde ich nun raten, dass Sie überprüfen, ob http://www.sparkasse.de/ wirklich echt ist, also Identifikationsdaten bietet - allein spart man es sich auf http://www.sparkasse.de/, auf https umzuschalten; selbst nach dem Anklicken von "zum Online-Banking". Das bedeutet: http://www.sparkasse.de/ könnte auch ein Fake sein, die Sparkasse ermöglicht es ihren Kunden nicht, einen Unterschied festzustellen, auch nicht, wenn man https://www.sparkasse.de/ nimmt. Bedauerlich, um nicht zu sagen: Mist.
  • Werfen Sie bei verdächtigen Mails einen Blick in die Sicherheitshinweise der betreffenden Bank, in diesem Fall auf sskm.de und sparkasse.de.
  • Suchen Sie auf den Seiten Ihrer Bank nach Hinweisen zu "Phishing" und "Betrügerische E-Mails", wie hier.
  • Im Fall der Sparkassen kann man über warnung@sparkasse.de auf das Phishing hinweisen.
  • WENN SIE "REINGEFALLEN" SIND UND DATEN EINGEGEBEN HABEN - schämen Sie sich nicht und verschweigen Sie es nicht! Sondern rufen Sie die Bank an und geben sie denen Bescheid, die Stadtsparkasse bietet zum Beispiel auf dieser Seite allgemeine Infos zur Sperrung und Telefonnummern für diesen Fall. Die gäbe es nicht, wenn es nicht anderen schon passiert wäre.

Ganz allgemein mein Ratschlag:

  • Meiden Sie Online-Banking!

Mehr zum Thema Phishing: http://unsicherheitsblog.de/tag/phishing/
Allgemeines, aber schon etwas älter: http://unsicherheitsblog.de/phishings-erkennen-abwehren/

"Wichtige Mitteilung 001"
die Phishing-Mail von info@sparkasse.de

Hier nochmal der Text der Mail, mehr für Google:

Unsere Mitteilung vom 12.01.2014 Anzeige bis 20.04.2014

Informationen zu Ihrer Sicherheit

Sehr geehrter Online-Banking-Kunde,
Bitte beachten Sie, dass Ihr Online-Banking-Zugang zu Ihrem Konto in Kürze abläuft. Um diesen Dienst ohne Unterbrechung fortzusetzen, klicken Sie auf das Symbol unten für eine manuelle Aktualisierung Ihres Kontos

Klicken Sie hier - >

Nach Abschluss der Anweisungen zum, Online-Banking - wird der Zugang zu Ihrem Konto automatisch wiederhergestellt werden. Es sind keine weitere Aktionen notwendig.

In kuerze wird Sie ein Mitarbeiter unserer Abteilung kontaktieren,um die Aktualisierung zu vervollständigen. Dies ist unkompliziert und sicher.

Wollen Sie überall und rund um die Uhr Zugriff auf Ihre Konten der Sparkasse haben? Mit unseren Online-Banking-Lösungen können Sie jederzeit und bequem Ihre täglichen Bankgeschäfte erledigen – egal ob zu Hause, am Arbeitsplatz oder auf Reisen.

Denken Sie daran, dass die Sparkasse um Ihre Sicherheit und ihren Schutz bemueht ist.
Vielen Dank für Ihre Zeit und Zusammenarbeit.
Mit freundlichen Grüßen,

Ihre Sparkasse.

....ganz allgemein bin ich froh, kein Sparkasse-Kunde zu sein: Wer seine Kunden so verwirrt, trägt dazu bei, dass diese sich leichter nasführen lassen.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

2 Antworten

  1. Jörg sagt:

    Ähnlich habe ich damals eine Nachricht bekommen (so ungefähr):
    Dürfen wir Ihre Mail zu Werbezwecken nutzen?
    Ihre Adresse ist uns Geld wert. 100 Euro wenn wir Ihre Adresse vertreiben dürfen, 50 Euro falls nicht (weil saubere Adressdateien wertvoller sind, daher zahlen wir auch dann, wenn wir Ihre Adresse nicht verwenden dürfen).
    Senden Sie uns das Formular per Fax zu, wie überweisen dann:
    Konto, BLZ, Unterschrift, E-Mail

    Per Fax? Klar: es ging darum Konto, BLZ und Unterschrift zu bekommen!