„ING DiBa – Telebanking PIN Aktualisierung“
Natürlich nichts.
Die Mail sieht etwa so aus:
Sehr geehrte/r Kunde,
Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
geändert werden muss.
Andernfalls müssen wir Ihr Konto mit 14,99€ belasten
und die Änderungen schriftlich über den Postweg bei Ihnen einfordern
Ihren Telefon-Banking PIN können Sie hier ändern.
Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de 24Std. für Sie zur
Verfügung.
Mit freundlichen Grüßen
ING-DiBa AG
ING DiBa – Telebanking PIN Aktualisierung ist Phishing!
Konnte man dieses Phishing erkennen?
- (Nein) Logo, Familienidyll-Foto – sieht alles normal aus.
- (Ja) Achten Sie auf die Mail-Adresse des Absenders, hier „helpdesk@emaxxtelecom.com“ – deutlich NICHT von der ING DiBa, (@ing-diba.de). Da müssen sofort die Alarmglocken schrillen!
- (Nein) Der Link „ING DiBa Banking Login“ rechts oben führt ganz korrekt zur Login-Website der ING DiBa. Das ist trickreich, denn selbst der Misstrauische prüft sicher nicht alle Links einer Mail. Daran wäre hier der Nepp nicht erkennbar!
- (Ja) Erst der unterstrichene „hier“-Link führt auf die (falsche!) Webadresse https://goo.gl/Mez57s, eine Kurz-URLs, die wiederum nur als Tarnung dient auf https://udn.ing-diba-online.ru/up/ umleitet. Im Ergebnis landet(e) man auf einer Phishing-Website. Dank Tarnung durch den Webadress-Kürzdienst goo.gl ist die falsche URL nicht zu erkennen, doch schon die Kurz-URL sollte jeden misstrauisch machen (siehe auch: Warum URL-Shortener gefährlich sind).
- (Ja) Die inherente Drohung „Andernfalls müssen wir Ihr Konto mit 14,99€ belasten“ ist typische Manipulation: Solche Phishing-Mails versuchen, Sie mit „Dringlichkeit“ zu erpressen und Ihr Denken abzuschalten. Der Betrag ist nicht groß genug, zum Telefon zu greifen, aber er reicht aus, dass man sich sagt: „15 Tacken für nichts? Typisch Bank! Na meinetwegen, dann bringen wir es halt hinter uns…“ (und zack!).
Merke: Wer etwas Dringendes von Ihnen will, fordert dies heute noch per Post ein. (Der Tag naht, wo das nicht mehr so sein wird. Dann Gnade uns Bit…)
Was tun?
- Wenn Sie sich noch nicht angemeldet haben: löschen Sie einfach die Mail. (Optional: Schicken Sie die Mail an info@ing-diba.de)
- Wenn Sie sich angemeldet (und damit Ihre Zugangsdaten Kriminellen ausgehändigt haben): Schämen Sie sich nicht, melden Sie es der Bank (wichtig!) und erstatten Sie Anzeige (optional, juckt eh keine Sau, aber wenigstens kriegen die Behörden Daten für eine Statistik).
- Webseite der ING DiBa zu Sicherheitsfragen: ing-diba.de/kundenservice/sicherheit/
- Webseite der ING DiBa speziell zu Phishing: ing-diba.de/ueber-uns/wissenswert/die-masche-der-phisher/
- Mehr zum Thema Phishing auf unsicherheitsblog.de
Hier nochmal die Phishing-Mail in ihrer ganzen Schönheit: