Banken-Phishing

Im Sep 2021 haben sich Phishing-Mails für eine gewisse Bankengruppe derart gehäuft, dass ich mal deren Konfiguration nachgeschaut habe. Sollten die Spamfilter von IONOS wirklich so schlecht sein, dass Sie den Schrott nicht blocken? Gang unschuldig sind aber die Volksbanken daran auch nicht.

Es geht mir nicht drum, eine Bank gezielt an einen Pranger zu stellen. Auch andere Banken sind hier nicht perfekt. Es sollte aber aufrütteln, dass es sehr wohl möglich ist, mit SPF, DKIM und DMARC eine Domain zu schützen. Es ist leider keine Lösung für "Vertipperdomains" und eine Bank kann ja nicht alle ähnlich klingende Domains kaufen. Aufmerksam müssen Sie als Anwender also immer sein.

Auslöser

Leider habe ich schon einige der Mails in einem privaten SpamOrdner gelöscht, aber auch so ist die Liste nicht zu übersehen:

Eigentlich sind sie so schlecht gemacht, dass sie nur wenige Personen täuschen können. Wer aber schon mal eine Mail öffnet, wird sich verwundert die Augen reiben.

Dabei sind die Mails selbst gar nicht mal schlecht gemacht und vor allem scheint der Absender plausibel. Der Absender kann hier einfach die Domänen der Volksbank nutzen.

Die VR-Bank ist auch nicht besser dran.

Wer die Mail direkt in der HTML-Ansicht anschaut, könnte leicht darauf reinfallen.

Die kleine Rakete und das winkende Smiley sind für eine seriöse Bank vielleicht zu auffällig und auch an der Sprache sollte der Absender noch etwas arbeiten. In der Text-Ansicht sollten die verräterischen Links auf jeden Fall auffallen.

 

Allerdings sehen sie hier auch, dass die Spammer sogar "Bandbreite" sparen, indem sich Bilder von anderen Seiten einbinden. Hier muss wohl ein Einkaufszentrum drunter leiden, die 2016 ein Logo der Volksbank auf ihrem Wordpress verwendet haben.

Hinweis an Webseiten-Betreiber. Lesen Sie mal die Seite Hotlinking von Bildern

SPF, DKI, DMARC

Schauen wir uns zur Mail einmal den Header an, der relativ kurz ist:

Return-Path: <securemail@volksbank.de>
Received: from manager.netart.cz ([212.158.128.81]) by mx.kundenserver.de
 (mxeue012 [212.227.15.41]) with ESMTPS (Nemesis) id 1MXHag-1mKrQX0nmQ-00YlbC
 for <frank@carius.de>; Tue, 28 Sep 2021 14:30:55 +0200
Received: from vws2.netart.cz (vws2.netart.cz [212.158.128.86])
	by manager.netart.cz (Postfix) with SMTP id C7E2BF6DA
	for <frank@carius.de>; Tue, 28 Sep 2021 12:57:02 +0200 (CEST)
Received: by vws2.netart.cz (sSMTP sendmail emulation); Tue, 28 Sep 2021 12:57:02 +0200
Date: Tue, 28 Sep 2021 12:57:02 +0200
To: frank@carius.de
Subject: Volksbank Re: Aktualisieren Sie Ihr secureGo.
X-PHP-Originating-Script: 80:wp-wordfence.php
From: Volksbank eG <securemail@volksbank.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary=f94c44813ff29918161473082df3ee9b
Envelope-To: <frank@carius.de>
X-Spam-Flag: YES

Wie nicht anders zu erwarten, hat der Spammer diesmal einen Server in CZ genutzt, um seine Mail zu senden. Wenn die anderen Header stimmen, dann war wohl "wordfence.php" der Creator. Ob das nun Absicht oder eine gehackte Seite ist, prüfe ich nicht weiter. Wordpress-Addons haben aber oft den Ruf nicht immer sicher zu sein.

Also schaue ich mir doch erst einmal die DNS-Einträge der angeblichen Absenderdomain an. MXToolbox macht das sehr einfach und übersichtlich:

Bei diesen Voreinstellungen brauchen wir uns ja nicht zu wundern. Die Inhaber von "volksbank.de", immerhin eine offizielle Domäne der Volks- und Raiffeisenbanken, wie sie unter https://volksbank.de selbst prüfen können. Es erfolgt eine Umleitung nach https://www.vr.de/privatkunden.html (Stand 29. Sep 2021). Für die meisten Menschen ist es aber ja immer noch die Volksbank. Zumindest hat vr.de schon mal einen "sicheren SPF-Eintrag

Allerdings wissen sie spätestens sei dem Lesen der Seite DMARC, dass SPF alleine nur den "Envelope-From" prüft aber nicht den Header. Und da sieht es natürlich genauso mau aus

Ohne DMARC-Vorgabe, dass die Mailserver ein "Alignment" zwischen dem Envelope-from und Header-From prüfen, kann ein Spammer problemlos weiterhin die Domains der volksbank.de und vr.de als Absender vorgeben. Bei eurem eigenen IT-Dienstleister Fiducia & GAD IT AG habe ich zumindest schon mal einen DMARC-Record gefunden, auch wenn die Policy noch auf "none" steht.

Das kann alles noch etwas besser werden. Da ist es auch kein Trost, dass sparkasse.de beim SPF noch ein "~all" nutzt und ebenfalls DMARC vermissen lässt.

Bankenübersicht

Ist es nur die Gruppe der Volksbanken, die hier schläft oder ist es ein allgemeines Thema?. Ich habe daher willkürlich die Domains einiger Banken nach SPF und DMARC ausgewertet, ob sie zumindest ein "SPF:-all" haben. Erst ein DMARC-Record erzwingt die Header-From-Prüfung und sollte kein "p=none" haben:

Die Tabelle gibt den Stand 02. Okt 2021 wider und ist keine repräsentative Auflistung. Speziell Sparkassen und Volksbanken haben ja ganz viele Domains.

Bank SPF (Okt) 2021 _dmarc.<domain> (Okt 2021

vr.de

-all

Kein Eintrag

sparkasse.de

~all

Kein Eintrag

n26.de

-all
p=reject

commerzbank.de

-all"

Kein Eintrag

dkb.de

~all
p=none

postbank.de

-all
p=none

deutsche-bank.de

-all
p=reject

targobank.de

~all

Kein Eintrag

ing.de

-all
p=reject

comdirect.de

~all
p=none

opelbank

~all

Kein Eintrag

volksbank.de

kein Eintrag

Kein Eintrag

Atruvia.de
(Neuer Name der FiduciaGad)
-all

Kein Eintrag

Damit gibt sich ein durchwachsenes Bild:

  • SPF
    Beim SPF-Record ist die Konfiguration durchwachsen. Einige Banken haben schon einen "-all" aber viele Banken haben einen wenig hilfreichen "~all"-Eintrag. Dass die VR-Gruppe ihre Domain "Volksbank.de" gar nicht schützt, sollten die Verantwortlichen noch mal überdenken.
  • DMARC
    Einige Banken haben ein "p=reject" und die gleichen Banken habe auch SPF streng ausgelegt. Aber es gibt immer noch Banken, die DMARC gar nicht nutzen. Eine Konfiguration mit "p=quarantine" habe ich gar nicht gefunden.
  • DKIM
    DKIM habe ich allerdings nicht geprüft, weil ich dazu von jeder Bank ja erst einmal eine DKIM-signierte Mail mit dem Selector erhalten müsste

Auch eine Prüfung auf SMTP/TLS-Verbindungen, SMIME oder PGP habe ich nicht vorgenommen. Die meisten Banken haben wohl einfach kein Interesse mit wenige Aufwand ihren eindeutig identifizierten Kunden z.B. ein SMIME-Zertifikat auf der EC-Karte auszustellen und damit verschlüsselt zu kommunizieren. Siehe auch Zertifikatsmail - Alternative zu De-Mail und ePost! und Die Aufgaben einer Zertifizierungsstelle (Certificate Authority)

Bei allen Domains, die kein "SPF:-all" und kein "DMARC:p=reject" haben, haben Spammer sehr leichtes Spiel mit dem Fälschen von Mails. Ich werde die Prüfung sicher noch einmal wiederholen

Ich bin mal gespannt, wie schnell die VR-Gruppe ihr Versprechen wahr macht.

Empfehlung

Insofern kann ich meine Provider 1und1 nur den geringen Vorwurf machen, dass ihre Mustererkennung die Mails an sich nicht als Spam erkennt. Sicher könnte man anhand des einliefernden Server "manager.netart.cz ([212.158.128.81]" vermuten, dass es sich nicht um eine deutsche Bank handelt aber in der modernen Cloud-Welt mit dynamischen Diensten ist das auch nicht auszuschließen.

Allerdings sollte es heute zum guten Ton gehören, dass man als Inhaber einer Domain seinen Namen schützt und nicht nur die legitimen eigenen Mailserver per SPF veröffentlicht, sondern per DMARC-Policy auch die Überprüfung des Header-From erzwingt. Für die Sonderfälle, die dann "brechen" könnten, ist DKIM das Mittel der Wahl das Vertrauen herzustellen.

Weitere Links