Bei dieser aktuellen E-Mail, die angeblich von TF Bank Kreditkarte stammen soll, handelt es sich um eine böswillige Phishing-Mail mit dem Betreff: “Wichtige Information zu Ihrer Karte!”. Die E-Mail wurde nahezu identisch im Corporate Design der TF Bank erstellt und wirkt deshalb auf den ersten Blick sehr echt.
Die gefälschte E-Mail ist allerdings sehr schnell als Fälschung zu identifizieren:
- Im E-Mail-Header ist als Absender: TF Bank <xxx@ turkmetal.org.tr> angegeben. Diese E-Mail-Adresse ist eindeutig nicht von der TF Bank. Bei Durchsicht der weiteren Kopfzeilen (“Received from”) ist der tatsächlich genutzte Mailserver erkennbar. Dieser ist ebenfalls nicht der TF Bank zuzuordnen.
- Die persönliche Anrede unter Nennung des Vor- und Nachnamens fehlt.
- Der Text der Nachricht ist fehlerhaft.
- Die Grußformel ist “bankuntypisch” und enthält einen Fehler.
Die aufgeführte E-Mail-Adresse hinter der Angabe “Von:” ist nicht die E-Mail-Adresse, die von den Phishing-Akteuren zum Versand genutzt wurde. Diese E-Mail-Adresse ist vorgetäuscht. Die weiteren Kopfzeilen geben allerdings Auskunft über den tatsächlichen Versender (Mailserver).
Fährt man mit der Maus in der TF Bank Phishing-Mail (Abb. 1) über den in der Nachricht enthaltenen Link-Button, sieht man am unteren linken Rand die URL https://s.free.fr/6JgSHTeS. Dabei handelt es sich um eine “verkürzte” URL, die mit dem URL-Shortener “s.free.fr” erzeugt wurde.
MERKE: Das sogenannte “Hovern” mit der Maus über einen Link oder Button kann einen böswilligen Phishing-Link aufzeigen. Darauf verlassen kannst du dich aber nicht! Es gibt Phishing-Mails, die den Link zur echten Website anzeigen, dich aber dennoch beim Klick auf den Link zur böswilligen, gefälschten Website führen.
Die tatsächliche URL, auf die der Link-Button führt, lautet: https://www.meine.tf-bank.de.185-28-60-72.plesk.page/login/portal/dokhol.php?verification#_
TF Bank Login: Das Original und die Fälschung
Was erwartet uns nach dem Klick auf den Link-Button? Eine sehr echt wirkende Kopie/Fälschung der Login-Seite der TF Bank. Nutzt du beispielsweise ein VPN, erscheint nicht das TF Bank Login, sondern eine Kopie der Startseite der Westdeutschen Allgemeinen Zeitung (WAZ):
Den Server bzw. die URL habe ich bereits mehreren Stellen gemeldet, leider wird die URL z. B. von Google Safe Browsing aber noch nicht als “betrügerische Website” angezeigt bzw. gesperrt.
Dieser Server hält trickreiche Formulare und böswillige Scripte vor. Deshalb solltest du auf gar keinen Fall die von mir in diesem Post/Beitrag angegebenen URLs aufrufen und öffnen!
Handlungsempfehlung:
Solltest du eine Phishing-Mail von der TF Bank erhalten, öffne sie nicht und lösche die E-Mail am Besten sofort. Klicke nicht auf Links die dir per E-Mail von der TF Bank oder einer anderen Bank zugesendet werden. Melde dich bei der TF Bank und auch bei anderen Banken immer nur über die offizielle Homepage oder App an.
Zu den technischen Spitzfindigkeiten dieser Phishing-Mail werde ich bei Gelegeheit noch einmal explizit eingehen. Da die Akteure dahinter ein bisschen schlampig waren, gebe ich ihnen zunächst noch einmal die Chance und die Zeit, ihre Formulare und teils sehr unvollständigen, fehlerhaften Scripte auf Vordermann zu bringen, bevor ich sie dann wieder als “betrügerisch” melde ;-)
Hat dir dieser Beitrag gefallen? Hast du Fragen zum Thema Pishing? Dann schreibe einen Kommentar oder folge mir auf Mastodon :-)
Weitere Beiträge zum Thema Phishing: