Ein Versuch einer Verfolgung eines Phishing-Angriffs auf Postbank-Kunden

Seit ein paar Tagen ist wieder eine Phishing-Mail im Umlauf. Auch Mitglieder der LAWgical-Redaktion haben gestern die Mail erhalten. Wir nutzen daher die Gelegenheit, den Vorgang anhand der Daten in der Mail sowie entsprechenden Screenshots zu dokumentieren und unternehmen einen Versuch einer Rückverfolgung:

Der Absender der Mail mit dem Titel "PostBank TAN-Absicherung" ist angeblich "security@postbank.de". Dahinter steht jedoch - wie der Quelltext der Mail offenbart - kein Mail-Server der Postbank, sondern ein Rechner mit der IP-Adresse 102.164.42.200; weitertransportiert wurde die Mail über die IP 220.127.29.110. Der Versuch eines traceroute verläuft erfolglos; die Spur der IP 220.127.29.110 verliert sich in der Nähe von Seoul im Adressraum von APNIC, wo die IP jedoch nicht registriert ist. 102.164.42.200 gehört zu einem von der IANA reservierten IP-Raum. Es ist daher davon auszugeben, das die Adressen gefälscht sind.

Der Inhalt der Phishing-Mail ist übrigens durchaus geignet, Erheiterung über die noch immer recht unbefriedigenden Ergebnisse automatischer Übersetzungen auszulösen, was glücklicherweise das Risiko verringert, dass ein ahnungsloser Kunde die Mail ernst nimmt.

Falls man sich aber dennoch entschließt, zwecks "Eintasten zweier TANs in die elektronische Form" auf den in der Mail enthaltenen Link "Sie koennen die Form bei ausfuellen" zu klicken, so wird eine Seite aufgerufen, die dem Originallayout der Postbank erstaunlich ähnlich sieht. Dort wird der Kunde aufgefordert, Kontonummer, PIN sowie zwei TANs einzugeben. Überflüssig zu erwähnen, dass die Seite nicht über eine sich…