Newsletter einer Bank - wie man es nicht macht

Was war passiert?

Heute ereilte mich der Newsletter einer Bank, bei der ich ein Konto führen lasse, in dem man demonstriert, wie man es nicht macht:

1. Nachdem ich mir nicht mehr sicher war, ob diese Bank meine eMail-Adresse kannte, warf ich einen Blick hinein: nur (stilistisch schlechtes, und meines Erachtens auch eher invalides) HTML in dieser eMail, das von meinem Mailreader als Quelltext angezeigt wurde. Besonders nett fand ich die folgenden Zeilen:

<!-- saved from url=(0155)file://C:\Dokumente%20und%20Einstellungen\XXXX\Lokale%20Einstellungen\
Temporary%20Internet%20Files\OLK169\Bank%20Institut%20News%20November%2020052.html -->

(Umbrüche und Anonymisierung durch mich)

2. Angesprochen wurde ich in dieser eMail mit einem anderen Namen, offenbar kann sich jeder mit jeder beliebigen eMail-Adresse dort anmelden, confirmed opt-in existiert als Standard für seriösen Newsletter-Versand ja erst ein paar Jahre.

3. Der Newsletter wurde offenbar von einem externen Dienstleister versendet, so daß in den Mail-Headern nicht die Bank auftaucht, sondern eben dieser Dienstleister. Eine Unterscheidung zu einer Phishing-Mail wird dadurch nicht einfacher.

4. Nach einer kurzen Recherche war mir dann auch klar, wer der beauftragte Dienstleister ist - vorsichtig formuliert ist seine Geschäftspraxis umstritten, wie ich auch aus eigener Erfahrung weiß.

5. Den Höhepunkt stellten dann aber Links wie der folgende dar. Links in Phishing-Mails sehen praktisch genauso aus:

<A style="COLOR: #000000" href="http://de.dienstleister.invalid/re?l=XXXXXXXXXX"
target=_blank>www.bank-institut.invalid</A>

(Umbrüche und Anonymisierung durch mich)

Die URI im Klartext (www.bank-institut.invalid) unterscheidet sich von der, die dann aufgerufen wird (http://de.dienstleister.invalid/re?l=XXXXXXXXXX). Die URI beim Dienstleister war zwar nur eine Weiterleitung auf die im Klartext angegebene URI, das ist jedoch vor Aufruf nicht absehbar.

Fazit

  • Abschließend konnte ich die Authentizität der eMail nicht wirklich zu 100% feststellen, wenn auch die meisten Anzeichen dafür sprechen.
  • Banken machen sich keine Gedanken über ihre Kundenkommunikation.
  • Da auch offizielle, authentische Kommunikation mit Banken diverse Seltsamkeiten aufweist, wird es selbst für einen aufmerksamen Kunden schwierig, Phishing-Mails zu erkennen.

Nachtrag 11.06.2006

Nachdem die letzten Tage wieder dieser Newsletter aufschlug und diesmal auch durch meine Spamfilter rutschte, wollte ich den Unsubscribe-Link nutzen, um mich auszutragen - dieser Unsubscribe-Link zeigte natürlich auf die Systeme des mit dem Newsletter-Versands beauftragten Dienstleisters.

Mein erster Versuch brachte mir nur folgende wenig aussagekräftige Fehlermeldung ein:

Fehler! (System-wide error page)

Status Code: 404

Error Message: 

Request URI: /core/ecm/public/unsubscribe_db.jsp

Geleitet von meinem Bauchgefühl, schaltete ich Javascript ein und tatsächlich: plötzlich funktionierte der Link zum Austragen. Glückwunsch! Beim Wettbewerb um den Preis für sinnlose Verwendung von Javascript landet man so ziemlich weit vorne.

Wenig später traf auch noch eine eMail von jenem Dienstleiter ein. Die Header waren nicht auffälig, bis auf das fehlende Subject - ein Zeichen für Spam oder einen unhöflichen Kommunikationspartner. Der Body war wohl unvollständig, er bestand nur aus folgendem Text:

Hallo XXXX YYYYY,

(Anonymisierung durch mich, der angegebene Name war nicht der meinige)

Soviel Fehler kann man eigentlich gar nicht machen - außer, man weiß nicht, was man tut. Dann sollte man jedoch wiederum vermeiden, damit sein Geld zu verdienen. Als Nebeneffekt blieb diese eMail in meinem Spammfilter hängen, ein weiteres Versagen für einen professionellen Versender von Newslettern.

it/security/phishing.txt · Last modified: 2006-06-11 16:10 by rosenke
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0