Fidor Bank: Phishing-Seite FLDOR.BE zockt Kunden ab

Die Phishing-Seite FLDOR.BE zockt die Kunden der deutschen Fidor Bank ab. Die dabei verwendete Technik ist äußert raffiniert.

Fidor Bank fldor.be

Wer z.B. wegen seiner Aktivitäten bei Bitcoin.de vor zwei bis drei Jahren Kunde der Fidor Bank war, muss derzeit besonders gut aufpassen! Momentan werden systematisch Anleger per E-Mail angeschrieben, um sie zu einem erneuten Login zu verleiten. Original und Kopie kann man kaum unterscheiden. Einzige Differenz ist ein winziges Script der Phishing-Webseite. Die Besucher können wunschgemäß nach Eingabe der Login-Daten ihr Online-Banking nutzen, der Betrug fällt so schnell nicht auf.

Fidor Bank im Visier eines Cyberkriminellen

Bereits im Februar 2016 zählte die Münchener Fidor Bank über 100.000 Kunden. Momentan werden Phishing E-Mails an Kunden von vor zirka zwei bis drei Jahren verschickt. Laut E-Mail habe man dort angeblich Unstimmigkeiten festgestellt. „Um Ihr Konto zu schützen, bitten wir Sie, Ihr Konto freizugeben„, schreiben die Hintermänner, um die Empfänger zu einer Aktion zu verleiten.

fldor.be

LetsEncrypt: das Zertifikat von fldor.be

Wer darauf klickt, landet bei einer Webseite, die für Phishing-Seiten vergleichsweise aufwändig gestaltet wurde. So nutzt man ein Zertifikat von LetsEncrypt (siehe Screeshot oben). Natürlich verwendet die Fidor Bank ein ganz anderes SSL-Zertifikat für die verschlüsselte Übertragung der Daten. Doch darauf dürfte der Otto-Normal-Anwender kaum bis gar nicht achten.


Fidor Bank: Phishing-Seite FLDOR.BE perfekt gemacht

Der oder die Täter sind bei ihrem Vorgehen höchst einfallsreich. Die belgische Top-Level-Domain FLdor.Be wurde zwar am 21. Juni 2018 angemeldet, aber sie ist angeblich laut Domain-Eintrag noch gar nicht aktiv. Ein Beispiel für einen direkten Link aus der E-Mail lautet https://fldor.be/login/b50c774566fd5fdf556200ad5737325f.

Dort soll man nun als Kunde der Bank zum „Schutz des Kontos“ die eigene E-Mail-Adresse und das Passwort eingeben. Dann erscheint die nächste Eingabemaske, bei der die Fidor Identification Number (FIN) abgefragt wird. Anschließend können die Betroffenen ohne Zeitverzögerung das Online-Banking der Fidor Bank nutzen. Alle anderen uns bekannten Phishing-Seiten erlauben das nicht. Wer bei den allermeisten Phishing-Seiten seine Daten eingibt, kann danach nichts mehr tun. Folglich kommt bei nicht funktionierenden Seiten schnell der Verdacht auf, dass etwas komisch ist bzw. gefälscht wurde.

fidor bank fldor.be

Phishing at its cutting edge: das Script von fldor.be

Täter unaufmerksam?

Bei all der angewendeten Finesse hat sich der oder die Täter offenbar einen dickten Schnitzer erlaubt. Die E-Mails an die Phishing-Opfer wurden offenbar ohne VPN oder eine andere Verschleierung der IP-Adresse verschickt. Der Täter ist allem Anschein nach ein deutscher Kunde des Internet-Anbieters 1 & 1 Internet.

 

FLDOR.be: Die Phishing E-Mail an die Empfänger

Anzeige beim LKA durch Informanten

Möglicherweise hilft diese Unachtsamkeit bei der Ermittlung der Cyberkriminellen. Unser Informant hat die Phishing-Seite der Fidor Bank zwischenzeitlich inklusive der möglichen IP-Adresse des Täters beim LKA Baden Württemberg angezeigt. Die nahe gelegene Polizeidienststelle wollte per E-Mail keine Hinweise entgegen nehmen. Sie riefen heute zurück, der Mann müsse ins Büro kommen, um die Anzeige gegen unbekannt aufzugeben. Für langatmige Prozeduren ist keine Zeit mehr. Da die Macher der Phishing-Welle nun nach und nach unbemerkt an die Daten der Fidor-Kunden gelangen dürften, ist Eile angesagt. Deswegen die Anzeige beim zuständigen Landeskriminalamt.

Update vom 18.10.2018

Der Betroffene der Phishing-Attacke wurde am heutigen Donnerstag telefonisch von Frau R. von der Kriminalpolizei in Göppingen kontaktiert. Sie teilte ihm mit, dass man in ihrer Dienststelle weiter nichts unternehmen könne. Sie würde die Anzeige aber an die Polizeidienststelle in Uhingen weiterleiten.

Deswegen rief M. H. beim LKA Baden Württemberg an, um nach seiner gestrigen E-Mail Kontakt zur Abteilung für Cybercrime aufzunehmen. Dort teilte ihm mit, solange der Fall in der behördlichen Bearbeitung sei, könne man „weiter nichts machen„. In seinen Ohren klang das so, als werde das schon seine Wege gehen. Wenn die Polizei aus Göppingen die Anzeige an die Kollegen in Uhingen weitergeleitet hätten, dann würden die sich jetzt darum kümmern. Wie man sich vorstellen kann, war diese Auskunft für den Mann, dessen Daten ebenfalls von den Tätern abgefangen wurden, weder aufschlussreich noch erfreulich.

Beitragsbild: Thomas Bjornstad, thx! (CC0 1.0)

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.