Volksbank Phishingmail im Umlauf

Derzeit ist eine Phishingmail im Umlauf, die auf Kunden der Volksbank abzielt. Hier wird versucht an die Zugangsdaten der Onlinebanking-Kunden zu gelangen.

 

In der Mail wird von einer irrtümlich ausgeführten Überweisung geschrieben, die gesperrt wurde. Um dieses angebliche Problem zu lösen, soll man auf den Link in der Mail klicken, sich einloggen und den Stornierungscode in der App oder per SMS zugeschickt, in das Feld eingeben. Danach soll man mehr Infos zum eigentlichen Problem erhalten.

 

Die Mail wirkt in der ganzen Aufmachung recht komisch, was den Text betrifft, dann den großen leeren Inhalt/Abstand am Ende der Mail und ganz unten noch nichtssagender Text angehängt. Der soll wohl davor schützen, das diese Mail als Spam/Phishing erkannt wird. Auch das Volksbank-Logo ist als Grafik an die Mail angehängt.

 

 

Um das klarzustellen, es gibt kein Problem bei der Volksbank und man sollte auf keine Links in unbekannten Mails klicken, die Vorgeben von der eigenen Bank zu stammen.

 

Aber schauen wir uns das mal der Reihe nach an

  • In der Mail wird man als sehr geehrter Kunde angesprochen und nicht mit seinem kompletten Vor- und Nachnahmen wie sonst auch immer
  • In der Phishingmail wird diese Ural verwendet fiber8.iaasdns[.]com/%7Eakmalrac/W0RF (Hat mt der Volksbank nichts zu tun diese Adresse)
  • Klickt man den Link in der Mail, so landet man bei aktuelle1volks-loggenonline[.]com/AW1/parcela_Geral-Entrega_referencia_comandar_xxx-xxxxencontro_xxx-ver_comissionamento_da_fatura-alfandega_virtual_mx-id_url.html=xxxxx (Hat mt der Volksbank nichts zu tun diese Adresse)
  • auf der Landingpage soll man sich nun in sein Volksbankkonto einloggen. Man kann jeden Mist in das Loginfeld eintragen, es wird alles genommen. Andere Links auf der Seite wir zum Beispiel zum Impressum und andere funktionieren nicht.
  • nun noch die Handynummer erfragen, damit man den SMS-Tan erhalten kann, den man ins Kästchen eingeben soll. Tut man dies so erscheint dann die Seite mit dem Spinner und im oberen Bereich wechseln verschiedene Volksbanken-Logos durch wie von Ahlen, Beelen, Harsewinkel, Oelde, Clarholz, …. Hier wird wohl im Hintergrund probiert ob man sich mit den Anmeldedaten und dem SMS-Tan in das Volksbankkonto einloggen kann
  • …weiter komme ich nicht, da hier immer eine Fehlermeldung erscheint, da es bei meinen Daten ja um erfundene Angaben handelt ;(

 

Geben Sie die Url / Domain Ihrer Bank immer per Hand in den Browser ein. Klicken Sie auf keine Links in Mails, die Vorgeben von Ihrer Bank zu stammen und Sie auf ein angebliches Problem hinweisen. Solche Mails gehören gleich gelöscht!

 

Wie man hier schön sehen kann, haben die verwendeten Domains und die Versandmailadresse rein gar nichts zu tun mit der Volksbank

 

 

fiber8.iaasdns[.]com

IP AddressAutonomous System Number (ASN)Internet Service Provider (ISP) / OrganizationLocation
173.82.103.154AS35916 MULTACOM CORPORATIONMULTACOM CORPORATIONUSA

 

 

aktuelle1volks-loggenonline[.]com

IP AddressAutonomous System Number (ASN)Internet Service Provider (ISP) / OrganizationLocation
162.0.232.69AS35893 AirComPlus Inc.NamecheapUSA

Domaininhaber mittels Withheld for Privacy Purposes verschleiert
Domain: aktuelle1volks-loggenonline*.com
Registrar: NameCheap, Inc.
Registered On: 2021-08-14
Expires On: 2022-08-14
Updated On: 2021-08-14
Status: clientTransferProhibited
Name Servers:
dns1.namecheaphosting.com
dns2.namecheaphosting.com

 

 

Die Mai kommt von Volksbank AG – w32redsf8d6012fd–@infinito.it und beworben wird die Url aktuelle1volks-loggenonline[.]com – fiber8.iaasdns[.]com
Die IP-Adresse lautet 162.0.232.69 und der ISP ist in USA zu finden. ( Namecheap )


Text und Bilder in der Spammail:
~~+~~~~~~~~~~~+~~~~~~~~~~~+~~

Achtung diese E-Mail ist privat!


Stornierung einer Überweisung / ausstehend

Sehr geehrter Kunde,

Aus Sicherheitsgründen hat unser System eine irrtümlich ausgeführte
Überweisung gesperrt. Dies geschieht selten, da die Überweisung in der Regel
automatisch gesperrt wird. Um jedoch mit der Kündigung fortfahren zu können,
müssen wir Ihr Konto verifizieren, um eine korrekte Verwendung sicherzustellen,
um den Kündigungsprozess abzuschließen.

Bitte folgen Sie den Anweisungen:

1. Klicken Sie auf “Online Banking” und loggen Sie sich ein, um das
Kündigungsformular aufzurufen.

2. Bestätigen Sie Ihre Handynummer/ E-Mail und aktivieren Sie das
Kontrollkästchen, bevor Sie das Formular bestätigen.

3. Die Details der Überweisung werden Ihnen mit dem Stornierungscode in der
App oder per SMS zugesandt, bitte geben Sie den Code der erhaltenen
Stornierung ein.
Stornierung einer Überweisung

Hinweis:
Sie erhalten nach Abschluss des Vorgangs auch eine Bestätigung der
Stornierung per E-Mail.

Danke für Ihre Aufmerksamkeit.
Hochachtungsvoll,
Online-Kundenservice.

 


Bilder und weitere Infos zu den beworbenen Seiten:
~~+~~~~~~~~~~~+~~~~~~~~~~~+~~

 


Mailheader der Spammail:
~~+~~~~~~~~~~~+~~~~~~~~~~~+~~

Received: from 10.200.78.48
by atlas103.free.mail.ir2.yahoo.com with HTTPS; Sat, 14 Aug 2021 07:22:52 +0000
Return-Path: <W32ghkDSF8D6012FD–@infinito.it>
X-Originating-Ip: [23.83.208.73]
Received-SPF: fail (domain of infinito.it does not designate 23.83.208.73 as permitted sender)
Authentication-Results: atlas103.free.mail.ir2.yahoo.com;
dkim=unknown;
spf=fail smtp.mailfrom=infinito.it;
dmarc=unknown header.from=infinito.it;
X-Apparently-To: nerv@mich.net; Sat, 14 Aug 2021 07:22:53 +0000
X-YMailISG: ZTpdn3IWLDs7qur9hifpCm26StDp5UufLtOAQXsF2c_1Tmsn
wiR.q1TjBgXR3KjqmGpVapnkrJKqRDvzQ8uAiqAlCFEXMaVm6tlBLeAs2ia
gFkYFe6LQ_xK.gETWSw4eN7Ex033BgCbJ77QoLzVgN5gagUVLGcQaUoCf5Li
ts.2QJMGJZbbHG.sf_azngV2rbIGFvsmUslYCGR_nEfSXEHSLEyIzUFaydeB
ORnPClGvsupU7ZvJF8UKMYsUHje8Oegmrcg811b9TQnXPfa1OrQJ0g4NvDva
kXjNVaTeb7IMncVknKGO6kkb.IC7zgRzqHf3eTkg2kwlCuaQ9EdQVcw.P..r
5f8mvbk5rtsWWAjwq5RghW8I5z5vo6OHu4nfoAxcuSFilYTqnFiqsS0I4N
nimHXvYL_W6Pwd70s_k5y0PdMOstG758.aaF08z0QMEcTILMU4Y2YS9ejamE
Yz1FYb2z.7d8VnQEpvMV9huLVoTr8iCbVVozlvNQdLkZbmBrfMlLq3qlNfML
uTnzHnLvwkRhEnNkFjH82xtTiycGPvSB5F_VW1tF7Sx7FuzIPqNK5B72MXjs
zQwMhUrn1_c3_LoXtQSxW4rU39f5zu85SaPoWmUBS.Cnae8ynDAljOyXN7MC
YdW9Beq1rtau661p5FSrFdYp5uScBhlmMOqWMM4xnob1k3uqkeRmBa3rVEPH
4UIYhsbiMDA88OOpXoCendaSJBIgTjZq9qbseVdfN8EZjnwHNpcX_YCGzbSO
lry6YcXza.Tbco5n.ALtk8ew9gKo22wTYDRnK84ByXnuftrAcZZgAf_XOweJ
ADSKmprzudxNpWG.9ssk7V873EI10sgWnQTDXXgxK.EXomT0decbkSECqgZm
kRGKe_goOGy6EIgDCpI9u38EWaTfTBaxeZu4SVqH1cLOhmBdEE8eIVETd_zO
GhcVm6hnHZB6c6214SOYHA5g6EnXoUukLEtlYNZvKzVICxpeJIHaVm3Z5Je2
RuyecCXrEiKx6tZ_8WbTbFofG_rIyWYvE7NxHJ.6agf1EnVnWosKE3o9O0LS
HNiyKOzG.uaVLGzuGOIJsTQXGNy8QlczLl9eO1jpv0tGYgMlMxIij5nKb75r
xkiqWnhK._aE9058pPJz5vMItHnPD87qrIjGW.qfPngQCTTh5h3S4Ao0PHUX
2Y85BaiTi_a4oDMTng7J_fxjmj5bJbebKi0es_9k8LDCqiWcxylM.xlO1h_n
H7OiTfOTNgiGoal3ayHnv7rIRqTqs5VyUaBbpaV.1Jad9I6CqH6Fv3UCy_.L
MvmBy0KV06DQgkGLFcV_pxxcO1Q_EJBTBqnYrPeSBirAjH4Z8_MTZB4AFJI
JpVCnUqPLsziA9x9JUBTDOaCpSmi4ERRApGCGIt55fyfQFgOL5hp9c53CjS0
_RE44RGeMCM9e4PSyTIgq7K88qEyWMNaZnA-
Received: from 23.83.208.73 (EHLO golden.apple.relay.mailchannels.net)
by 10.200.78.48 with SMTPs
(version=TLS1_2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256);
Sat, 14 Aug 2021 07:22:52 +0000
X-Sender-Id: nocmonitoringorg|x-authuser|32aze012fds12f1@wordhippo.com
Received: from relay.mailchannels.net (localhost [127.0.0.1])
by relay.mailchannels.net (Postfix) with ESMTP id 5F522542369;
Sat, 14 Aug 2021 07:22:32 +0000 (UTC)
Received: from usvip4.noc401.com (100-96-16-227.trex-nlb.outbound.svc.cluster.local [100.96.16.227])
(Authenticated sender: nocmonitoringorg)
by relay.mailchannels.net (Postfix) with ESMTPA id AB5A95414BD;
Sat, 14 Aug 2021 07:22:28 +0000 (UTC)
X-Sender-Id: nocmonitoringorg|x-authuser|32aze012fds12f1@wordhippo.com
Received: from usvip4.noc401.com (usvip4.noc401.com [192.110.164.218])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384)
by 100.96.16.227 (trex/6.3.3);
Sat, 14 Aug 2021 07:22:32 +0000
X-MC-Relay: Good
X-MailChannels-SenderId:
nocmonitoringorg|x-authuser|32aze012fds12f1@wordhippo.com
X-MailChannels-Auth-Id: nocmonitoringorg
X-Society-Left: 60fcake82ca8a779_1668925751821_279fgj6454779
X-MC-Loop-Signature: 162gh925751821:40888fj3849
X-MC-Ingress-Time: 162hj,925751821
Received: from [::1] (port=40044 helo=usvip4.noc401.com)
by usvip4.noc401.com with esmtpa (Exim 4.94.2)
(envelope-from <W32RkDSF8D6012FD–@infinito.it>)
id 1mEnwy-0000Q2-PP; Sat, 14 Aug 2021 00:19:24 -0700
MIME-Version: 1.0
Date: Sat, 14 Aug 2021 00:16:42 -0700
From: =?UTF-8?B?Vm9sa3NiYW5rIEFH?= <W32REDSF8D6012FD–@infinito.it>
To: WR <cpanel@wordhippo.com>
Subject: AG: TR: Informationen zum Abonnement 13232015121 !
In-Reply-To: <1628923795.2FfJeoZoCw7ag6Il@usvip4.noc401.com>
References: <1628923795.2FfJeoZoCw7ag6Il@usvip4.noc401.com>
User-Agent: Roundcube Webmail/1.4.11
Message-ID: <03a351aj4025334f3e07adf7929bfe0@infinito.it>
X-Sender: W32REDSF8D6012FD–@infinito.it
Content-Type: multipart/mixed;
boundary=”=_9fd9c939ghb6458903aa96cc1a91f19ed”
X-AuthUser: 32aze012fds12f1@wordhippo.com
Content-Length: 94663

 

Ähnliche Beiträge:

Leave a Comment