Search
START TYPING AND PRESS ENTER TO SEARCH

Phishing: Trickreiche, gefälschte Postbank-E-Mails im Umlauf

Aktuell sind wieder Phishing-E-Mails im Umlauf, in denen vorgetäuscht wird, dass sie von Banken, in diesem Fall von der Postbank, stammen. Bei diesen Mails handelt es sich um Fälschungen, mit deren Hilfe die Opfer zum Preisgeben von Kontodaten (Postbank-ID und -Passwort) bewegt werden sollen.

Die Betrüger geben im Betreff der E-Mail sowie im Text der Nachricht an, dass es sich um ein Update bzw. eine Aktualisierung für den Authentifizierungsdienst BestSign handelt. Klickt ein Opfer versehentlich auf den Button “Jetzt Aktivieren” wird eine Website geöffnet, die der Website der Postbank im Design stark ähnelt. Der Empfänger der betrügerischen E-Mail wird dann dazu aufgefordert seine Zugangsdaten für das Postbank-Konto einzugeben. Die eingegebenen Daten werden von den Cyberkriminellen abgegriffen, gespeichert und mißbraucht.

Das Trickreiche an der gefälschten Postbank-E-Mail

Mit Hilfe des Button-Klicks auf “Jetzt Aktivieren” wird eine gefälschte Postbank-Seite mit der URL: https://postbank.de.coachjrc.com.br im Browser des Opfers geöffnet. Öffnet das Opfer die betrügerische Website auf dem Smartphone, sieht es auf dem sehr kleinen Bildschirm nur den Anfang der Domain in der Browseradresszeile: https://postbank.de… Infolgedessen geht ein Opfer mit großer Wahrscheinlichkeit davon aus, dass es sich auf einer offiziellen Website der Postbank befindet.

Bei der URL “postbank.de.coachjrc.com.br” handelt es sich nicht um eine Domain der Postbank, sondern um eine Subdomain von “coachjrc.com.br

Woran du die betrügerische Mail erkennen kannst

Abb. 1: Betrügerische, gefälschte Postbank-E-Mail
  1. Die E-Mail-Adresse “noreply-1@mailto.com” ist keine Adresse der Postbank.
  2. Die Nachrichten-ID zeigt einen Domainennamen “…@relay.proximus.be”, der eindeutig nicht der Postbank zuzuordnen ist.
  3. Die Anrede “Lieber Kunde, …” ist nicht personalisiert.
  4. Wenn die Postbank BestSign Anwendungen aktualisiert, wird sie dich (vermutlich) nicht dazu auffordern einen Aktivierungslink zu betätigen, damit du an einem Upgrade “teilnehmen” kannst.
  5. Fährst du mit der Maus über den Button (hovern, nicht klicken!), siehst du den Link zur URL: https://extral.clickfunnels.com/optina5glh58z
  6. Typisch für Phishing-Mails ist, dass immer ein schnelles Handeln, eine “Dringlichkeit” signalisiert wird.

Original und Fälschung

Abb. 2: Gefälschte Postbank-Phishing-Website, die dem Original sehr nahe kommt.
Hier ist beim Aufruf der Seite ein Popup mit einem Hinweis zu sehen, der besagt, dass bei Nichthandlung der BestSign-Dienst unterbrochen wird.
Abb. 3: Original Postbank-Website und Login-Einstiegspunkt zum Postbank Banking & Brokerage unter https://meine.postbank.de mit Stand vom 27.03.2023 (die Postbank überarbeitet ihr Webangebot aktuell).

Welche Daten werden auf der betrügerischen, gefälschten Postbank-Login-Website abgefragt?

Wie auf der Originalseite der Postbank, wird hier die Postbank ID sowie das dazugehörige Passwort abgefragt. Gibt das Phishing-Opfer beide Angaben auf der gefälschten Seite ein, werden diese Daten von den Betrügern abgegriffen, gespeichert und mißbraucht.

Hat das Opfer beide Angaben in den Formularfeldern hinterlassen und die Eingabe bestätigt, erscheint eine weitere Formularseite. Diese zusätzlich geforderten Angaben (eine TAN, die angeblich per SMS zugesandt wurde), die dann noch gemacht werden sollen, sind ein Fake!

Das Opfer erhält niemals eine SMS, da die Mobilfunknummern der Opfer den Betrügern nicht vorliegen. In das Abfragefeld der TAN kann man eine x-beliebige 16-stellige Nummer (Schema: 1234 1234 1234 1234) eingeben und die Eingabe bestätigen. Nach der Bestätigung erfolgt eine Weiterleitung auf Original-Postbank-Seite.

Abb. 4: Abrage der Postbank ID.
Da die eingegebenen Formulardaten bzw. Zugangsdaten von den Betrügern nicht validiert und abgeglichen werden, kann man hier auch irgendwelchen Blödsinn eingeben. Die Betrüger wissen allerdings, dass die Opfer meist ihre tatsächlichen Daten eingeben.
Abb. 5: Abfrage des Passwortes.
Auch hier kann man aus den zuvor in Abb. 4 genannten Gründen irgendwelchen Blödsinn eingeben.
Abb. 6: Abfrage der TAN.
Die TAN soll angeblich per SMS an die Mobilfunknummer gesendet worden sein. Hierbei handelt es sich um ein Fake!

Handlungsempfehlung

Nach Möglichkeit die E-Mail gar nicht erst öffnen und sofort löschen!

Wenn du eine Nachricht von der Postbank erhältst, sieh dir alle Kopfzeilen der Nachricht zunächst einmal sehr genau an und prüfe, ob diese Nachricht tatsächlich von der Postbank stammt. Lass dich dabei durch etwaige Handlungsaufforderungen, wie z. B. “sofort!” oder “dringend!” innerhalb des Betreffs und des Nachrichtentextes nicht unter Druck setzen! Wenn du unsicher bist, halte Rücksprache mit der Postbank. Frage nach, ob dir eine E-Mail zugesandt wurde.

Solltest du eine Phishing-Nachricht, die angeblich von der Postbank stammt bereits geöffnet haben, den Link-Button betätigt und deine Postbank ID sowie dein Passwort auf der gefälschen Login-Seite eingegeben haben, setze dich sofort mit der Postbank in Verbindung!

Die Postbank wird dich bei allen erforderlichen Maßnahmen unterstützen, mit denen du dein Konto und deine Daten schützen und einen möglichen Schaden hoffentlich noch rechtzeitig abwenden kannst.

Weiterführende oder ähnliche Beiträge:

Böse, trickreiche Phishing- und Scam-Mails, die angeblich von der Postbank, Commerzbank, den Sparkassen usw. stammen
Vorsicht! Bösartige Phishing-Mail, die angeblich von “Lufthansa Miles & More Kreditkarte” stammt
FAQ: Häufig gestellte Fragen

Heike Vollmers

Heike Vollmers – Seit 1998 selbstständige Unternehmerin, Autorin/Onlinejournalistin, Gründerin des teufelswerk, Inhaberin und Gesellschafterin der Münnecke & Vollmers GbR, Ethical Hacker, Spezialistin für Cybersecurity, Social Engineering, Security Awareness & Datenschutz. Mehr erfahren

, , , , , , , , , , , , , , ,