Gefälschte Websites der Sparkasse und Volksbank: Bankkunden in Deutschland im Phishing-Visier

Umfangreiche Phishing-Kampagnen zum Diebstahl von Zugangsdaten

[datensicherheit.de, 01.12.2021] Security-Experten von Proofpoint haben nach eigenen Angaben eine Zunahme von Phishing-Kampagnen registriert, „bei denen deutsche Bankkunden ins Visier der Cyber-Kriminellen geraten“. Bereits seit Ende August 2021 hätten dabei mehrere großangelegte Angriffskampagnen festgestellt werden können, die mittels gefälschter Webseiten den Diebstahl von Zugangsdaten für das Online-Banking zum Ziel hätten. Betroffen seien hiervon insbesondere Kunden der Sparkassen sowie Volksbanken.

Abbildung: proofpoint

Scrennshots: Beispiele für Phishing-Mails – mit QR-Code (l.) und mit Link zu gefälschter Website (r.)

Neben Privatkunden auch Unternehmen Ziel noch immer andauernder Phishing-Kampagnen

Neben Privatkunden zielten Cyber-Kriminelle bei diesen noch immer andauernden Phishing-Kampagnen auf deutsche Unternehmen verschiedener Branchen ab, aber auch Mitarbeiter ausländischer Organisationen mit Sitz in Deutschland gehörten zu den Empfängern der Phishing-Mails. Die dabei verschickten Nachrichten enthielten angebliche Informationen zur Kontoverwaltung sowie zusätzlich einen Link bzw. QR-Code, mit deren Hilfe das potenzielle Opfer auf eine gefälschte Webseite gelockt werden solle.
Diese gefälschten Bank-Webseiten seien mittels Geo-Fencing-Techniken so präpariert, dass nur Nutzer aus Deutschland zur jeweiligen Phishing-Seite weitergeleitet würden. Alle anderen landeten auf einer Webseite, die vorgeblich Touristeninformationen über eine Sehenswürdigkeit liefere.

Bei Phishing-Kampagnen werden gefälschte Webseiten der Sparkasse oder Volksbank als Köder benutzt

Bei ihren Phishing-Kampagnen imitierten die Angreifer sowohl Webseiten der Sparkasse als auch die der Volksbank. „Die Cyber-Kriminellen haben es bei ihren Kampagnen auf Informationen zur jeweiligen Niederlassung der Bank, den Benutzernamen sowie die PIN bzw. das Passwort der potenziellen Opfer abgesehen.“
Zur Verschleierung der tatsächlichen gefährlichen URLs der gefälschten Webseiten nutzten die Täter ausgeklügelte Weiterleitungstechniken. Zudem griffen sie in verschiedenen der beobachteten Kampagnen auf kompromittierte „Wordpress“-Seiten zurück, um Opfer auf die Phishing-Landing-Pages umzuleiten.

Phishing-Angriffe mit ähnlichen Domain-Namen

„Die Cyber-Kriminellen hosten die gefälschten Webseiten auf einer von ihnen selbst kontrollierten Infrastruktur und verwenden dabei Domain-Namen, die denen der imitierten Webseiten ähneln.“ So würden beispielsweise die Phishing-URLs für Sparkassen-Zugangsdaten häufig mit „spk-“ beginnen, jene der Volksbank-Imitate mit „vr-„.
Proofpoint empfiehlt allen Nutzern, grundsätzlich die Web-Adresse ihrer Bank im Browser einzutippen und nicht auf Links in E-Mails zu klicken. Gleiches gelte zweifelsohne auch für „WhatsApp“-Nachrichten oder SMS.

Weitere Informationen zum Thema:

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit