„Unser System erkennt, dass Sie unseren neuen Sicherheitsdienst der Sparda-Bank Gruppe, noch nicht aktiviert haben.“ Mit dieser Masche wollen Hacker einer algerischen Web-Seite die Kunden der Sparda-Bank zur Herausgabe ihrer Login-Daten bewegen. Wir erklären, was hinter dem Versuch steckt.
Ständig versuchen Kriminelle, mit neuen Methoden an die Zugangsdaten von Bankkunden zu kommen. Dieses Mal haben Sie Konten der Sparda-Bank als Ziel. Mit einer geschickt gefälschten Seite und einer Mail nach dem Salzsteuerprinzip (überall hin verteilen, einer wird schon anbeißen), wollen sie euch über den Tisch ziehen.
Was steckt hinter dem Sparda-Phishing?
Zuerst bekommt ihr eine E-Mail, die dieses Mal ausnahmsweise nicht vor Fehlern strotzt:
„Lieber Kunde,
Unser System erkennt, dass Sie unseren neuen Sicherheitsdienst der Sparda-Bank Gruppe, noch nicht aktiviert haben, sodass Sie Ihr Konto bequem online verwalten können
Die Bestätigung von Transaktionen per Mobile-TAN ist jetzt obligatorisch, um schneller auf Online-Transaktionen reagieren zu können.
Bestätigen Sie Ihre primäre Telefonnummer, um Ihre laufenden Online-Einkäufe besser verfolgen zu können, ohne Zeit zu verschwenden.“
Ein dicker Button mit der Aufschrift „Online-Banking“ führt euch scheinbar zur Sparda-Bank. Tatsächlich wird er aber über eine gehackte Unterseite einer algerischen Spedition auf die Fake-Seite https://sparda-online.online/meine/web/ umgeleitet.
Die enthält eigentlich nur ein Hintergrundfoto, über das ein Eingabefeld für die Suche nach Sparda-Filialen gelegt wurde.
Dann wird es trickreich:
- Die nachfolgende Seite wird nämlich auch nur aus Bildern sowie einem Eingabeformular für eure Login-Daten zusammengesetzt.
- Und an dieser Stelle werden die eingegebenen Daten abgefangen und gespeichert, um euch anschließend ein Formular zur Anfrage von E-Mail-Adresse und Telefonnummer zu zeigen.
Der Trick daran: Im Hintergrund werden eure Login-Daten gleich ausprobiert und geprüft. Sind sie falsch, beschwert sich die Web-Seite. So erwecken die Verbrecher den Anschein einer sicheren Seite und prüfen gleichzeitig eure Daten, um sofort im Hintergrund zuzuschlagen.
Was kann man gegen das Sparda-Phishing tun?
Den besten Schutz gegen solche Attacken, bietet eine Mischung aus Misstrauen und gesundem Menschenverstand:
- Seht euch E-Mails von Banken genau an: Werdet ihr mit eurem Namen angesprochen? Gibt es Schreibfehler?
- Nicht sofort auf jeden Button einer E-Mail klicken. Fahrt mit der Maus darüber, um zu sehen, wohin der Link führt.
- Achtet auf die Domainnamen der Web-Seiten: sparda-online.online ist sicher keine Domain einer Sparda-Bank.
- Seht euch die Web-Seiten genau an: Wenn keiner der Links darauf funktioniert oder wenn sie ganz woanders hingehen, dann deutet das auf gefälschte Internetseiten hin.
- Gebt in verdächtige Formulare keine Daten ein. Ruft stattdessen die euch bekannte Bankseite auf und loggt euch dort ein. Da solltet ihr dann einen Hinweis auf Datenabfragen finden – wenn es sie wirklich gibt.
- Meldet solche E-Mails und Internetadressen sofort eurer Bank. Die Sparda-Bank hat dafür eine spezielle Seite.
Da es um euer Geld geht, solltet ihr lieber einmal zu oft misstrauisch sein.