Aber der Reihe nach. Kürzlich habe ich in meinem virtuellen Briefkasten eine E-Mail mit dem Betreff [Info] Aktuelle Mitteilung zu Ihrem Karten-Konto 10.01.2012 von der E-Mail-Adresse mcservice-inhaber@mastercard.com erhalten:

Sehr geehrter Karteninhaber, sehr geehrte Karteninhaberin,     
mit Bedauern müssen wir Ihnen die temporäre Aussetzung Ihrer Mastercard mitteilen.

Der Grund hierfür sind die neuen Sicherheitsrichtlinien, welche für jeden unserer Kunden geltend sind und bestätigt werden müssen.  Unsere Mitarbeiter aus dem Bereich der Kundenbetreuung und Sicherheit haben festgestellt, dass Sie noch keine Verifizierung Ihrer Mastercard durchgeführt haben. 

Solange Sie die Verifizierung nicht durchgeführt haben, wird es uns nicht möglich sein Ihre Mastercard freizuschalten. Wenn Sie jedoch nicht auf den Service von Mastercard verzichten möchten und Ihre Mastercard weiterhin reibungslos und sicher nutzen wollen, haben Sie die Möglichkeit eine Verifizierung durchzuführen. Mit diesem Verfahren schalten Sie Ihre Mastercard unverzüglich wieder vollständig frei. 

Hierzu besuchen Sie die unten aufgeführte Seite, auf welcher Sie ein Formular vorfinden. Tragen Sie dort Ihre Daten ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden. Weitere Informationen zu Ihrer Sicherheit und zur Verifizierung finden Sie selbstverständlich auf der folgenden Seite: 

Kartenschutz und Sicherheit 

Viel Vergnügen mit Ihrer Mastercard und einen schönen Tag wünscht Ihnen Dieter Hammle.  

Master Card Europe SPR.L.
Representative Office Germany
Unterschwerinstiege 5b
60537 Frankfurt am Main Deutschland
Telefon: +49 [0] 63 93 13 13 0
Telefax: +49 [0] 63 93 13 13 10

Als Inhaber von einer MasterCard-Kreditkarte fühlte ich mich im ersten Moment angesprochen und wäre dem Betrüger fast auf den Leim gegangen. Doch beim zweiten Lesen wurde mir klar: schon die E-Mail muss den aufmerksamen Leser stutzig machen. Denn:

• Es ist keine Kreditkartennummer in der E-Mail angegeben.
• Die Anrede in der E-Mail ist nicht personalisiert.
• Die Adresse in Frankfurt stimmt nicht mit der angegebenen Vorwahl von Frankfurt überein.

Der Link Kartenschutz und Sicherheit  in der elektronischen Post führte mich auf die Seite http://mc-cardsecurity.com, die mich zum zweiten Mal skeptisch gemacht hat. Denn bei der Verifizierung von Kundendaten wird generell eine gesicherte https-Adresse verwendet, das war hier aber gar nicht nicht der Fall.

Auf dieser Seite wird zusätzlich festgehalten:

Sehr geehrte Kunden,
Aufgrund von sicherheitstechnischen Mängeln in diversen größeren Onlineshops in Deutschland sind wir gezwungen, unsere Kunden einer Kartenverifizierung zu unterziehen. Wenn Sie eine Mastercard besitzen, empfehlen wir Ihnen, diese Kartenverifizierung sofort durchzuführen um eine allfällige Kartensperrung zu verhindern. Wenn Sie Ihre Karte nicht verifizieren, sehen wir uns gezwungen, diese binnen 2 Tagen zu Ihrem Schutz zu sperren.

Und auch hier fällt direkt wieder die fehlerhafte Rechtschreibung und Wortwahl ins Auge. Ansonsten ist die Seite aber in vielen Punkten der “echten” MasterCard-Homepage nachempfunden, so dass ich behaupte, dass es nicht wenige gibt, die den Schwindel nicht bemerken.

Es handelt sich hierbei also definitiv um eine besonders dreiste Masche von Phishing (Kunstwort aus Password und Fishing, also dem Abfischen bzw. Abgreifen von Kundendaten, Kartendaten und dem CSV-Sicherheitscode, der sich als dreistellige Ziffer auf der Rückseite der Kredikarte befindet. Eine ähnliche E-Mail habe ich vor gut einem Jahr hier im Blog vorgestellt: Vorsicht, Falle: Betrugsmail Verified by VISA und MasterCard Securecode.

Die Unseriösität der E-Mail wurde auch erst heute von der Verbraucherzentrale Nordrhein-Westfalen bestätigt. Dort ist der gleiche Text im Forum unter Phishing-Radar › Phishing-Meldungen › Phishing-Mails, die auf Kunden von Visa- und Mastercard zielen abgelegt worden.

Ich verlose insgesamt fünf Gutscheine, die zum kostenlosen Ausleihen von beliebigen Filmen auf videobuster.de genutzt werden können. Je Gutschein kann ein Film kostenlos ausgeliehen werden:

Ob spannende Action-Thriller, romantische Komödien oder Fantasy-Stories – mehr als 40.000 Filme stehen Ihnen dafür als DVD, Blu-ray, Blu-ray 3D oder als Video on Demand zur Verfügung. Wählen Sie selbst!

Auch der Zeitpunkt, zu dem Sie sich Ihren Film ausleihen, bleibt Ihnen überlassen, denn Ihr Gutschein bleibt nach der Zusendung drei Monate gültig.

Teilnehmen könnt Ihr mit einem Kommentar unter diesem Blogbeitrag bis Samstag, 30. April 2011. Der Rechtsweg ist ausgeschlossen. Die Gewinner werden nach Ende des Gewinnspiels hier auf dem Blog bekanntgegeben. Viel Erfolg!

Die Masche der Betrüger

War der Betreff der E-Mail schon das Schmunzeln wert, wurde es beim Inhalt der E-Mail aber noch besser:

Selbst dem unkundigen Laien fallen als erstes die vier offensichtlichen Rechtschreibfehler ins Auge (“im Bezug”, “Anzumelden”, “Bitte”, “Hier Klicken” und “persöhnlichen”).

Darüber hinaus ist bemerkenswert, dass die beiden – neben American Express AMEX – größten Konkurrenten, die MasterCard Europe und die VISA Europe angeblich gemeinsam eine E-Mail an ihre Kunden verschicken. So wird der Spam direkt offensichtlich.

Leider ist der Spuk noch nicht zu Ende. Bei einem Klick auf den Hyperlink “Hier Klicken” gelang man auf die URL http://cc-verif.c4.to und kann auf dem Screen auswählen, ob man Kunde von VISA oder MasterCard ist.

Die Eingabe der persönlichen Daten

Nach Auswahl einer der beiden Optionen können anschließend die gesamten persönlichen Kreditkartendaten erfasst und an die Betrüger gesendet werden – natürlich ist auch dieses Formular mit Rechtschreibfehlern und falscher Interpunktion gespickt:

Das Phishing der Betrüger war erfolgreich

Sind dann alle Daten erfasst worden, wird die Übertragung bestätigt. Ich habe übrigens zu Testzwecken nur ein Feld in dem Formular gefüllt und auf “continue” geklickt – dennoch erschien dieser Screen, der mir die erfolgreiche Übertragung der Daten bestätigt:

Tipps gegen Phishing

Zum Abschluss noch die wichtigsten Tipps, um sich gegen Phishing (ein Kunstwort, das sich aus Password und fishing, also “Passwort angeln” zusammensetzt) zu schützen:

• Vertrauen Sie nie blind den Inhalten einer E-Mail, deren Absender Ihnen unbekannt ist.
• Klicken Sie niemals auf Links in E-Mails, die zu sicherheitskritischen Webseiten wie Banken oder Kreditkartenunternehmen führen.
• Benutzen Sie grundsätzlich keine Links auf Webseiten, die zu sicherheitskritischen Diensten führen. Besser: erfassen Sie die URL in Ihrem Browser manuell.
• Sensible Account- und Kundendaten werden niemals per Formular von Banken oder Kreditkartenunternehmen abgefragt.
• Nutzen Sie in Ihrem E-Mail-Client nicht die HTML-Ansicht, sondern die Ansichtsart »Reiner Text«
• Erlauben Sie bereits in Ihrem E-Mail-Client kein Javascript, da über die Skriptsprache bereits Angriffe auf Ihre Konten durchgeführt werden können.