Lawgical  


 Kategorien

Ausbildung/Prüfung

Blogs und Blawgs

EDV-Gerichtstag

Europarecht

Gesetzgebung

Internationale Angelegenheiten

Internet und (juristische) Software

Juristische Meldungen

Literatur

Neues aus dem JuraWiki

Podcast

Recht der "Neuen Medien"

Rechtsprechung

Sonstiges

Termine



 Wir über uns

Impressum

Wir über uns



04.04.05

Ein Versuch einer Verfolgung eines Phishing-Angriffs auf Postbank-Kunden

Seit ein paar Tagen ist wieder eine Phishing-Mail im Umlauf. Auch Mitglieder der LAWgical-Redaktion haben gestern die Mail erhalten. Wir nutzen daher die Gelegenheit, den Vorgang anhand der Daten in der Mail sowie entsprechenden Screenshots zu dokumentieren und unternehmen einen Versuch einer Rückverfolgung:

postbank-thumb.jpg Der Absender der Mail mit dem Titel "PostBank TAN-Absicherung" ist angeblich "security@postbank.de". Dahinter steht jedoch - wie der Quelltext der Mail offenbart - kein Mail-Server der Postbank, sondern ein Rechner mit der IP-Adresse 102.164.42.200; weitertransportiert wurde die Mail über die IP 220.127.29.110.
Der Versuch eines traceroute verläuft erfolglos; die Spur der IP 220.127.29.110 verliert sich in der Nähe von Seoul im Adressraum von APNIC, wo die IP jedoch nicht registriert ist. 102.164.42.200 gehört zu einem von der IANA reservierten IP-Raum. Es ist daher davon auszugeben, das die Adressen gefälscht sind.

Der Inhalt der Phishing-Mail ist übrigens durchaus geignet, Erheiterung über die noch immer recht unbefriedigenden Ergebnisse automatischer Übersetzungen auszulösen, was glücklicherweise das Risiko verringert, dass ein ahnungsloser Kunde die Mail ernst nimmt.

postbank-thumb.jpg Falls man sich aber dennoch entschließt, zwecks "Eintasten zweier TANs in die elektronische Form" auf den in der Mail enthaltenen Link "Sie koennen die Form bei ausfuellen" zu klicken, so wird eine Seite aufgerufen, die dem Originallayout der Postbank erstaunlich ähnlich sieht. Dort wird der Kunde aufgefordert, Kontonummer, PIN sowie zwei TANs einzugeben. Überflüssig zu erwähnen, dass die Seite nicht über eine sichere Verbindung aufgerufen wird.

Ein Blick in die Adressleiste offenbart, dass man sich nicht wirklich bei der Postbank, sondern auf einem Server befindet, der auf die IP-Adresse 220.130.133.237 hört. Ein Traceroute führt uns wieder nach Asien - diesmal nach Taiwan, genauer nach Taipeh. Die IP gehört zu einem Nummernraum, der dem (vermutlich ahnungslosen) Provider "Chunghwa Telecom" zugeteilt ist. Dieser ist vermtlich auch dafür verantwortlich, dass die Phishing-Site, deren Screenshot rechts zu sehen ist, bereits wenige Stunden nach Inbetriebnahme wieder vom Netz genommen wurde.

Fazit: Eine Strafverfolgung dürfte sich schwierig bis unmöglich gestalten.

I.Speiser (17:01) | Link | Juristische Meldungen
Kommentare