// HEISE ONLINE — CYBERSECURITY
Phishing: Banken nutzen halbseidene Domains
Namhafte Banken wie die Sparkassen warnen zwar vor Phishing, nutzen aber selbst Phishing-artige Domains. Es ginge sicher besser.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Wieder einmal findet sich im Posteingang wie fast jeden Tag eine E-Mail, konkret von der Sparkasse, die auf ein Gewinnspiel im Zusammenhang mit Wero als Zahlungsangebot hinweist. Im aktuellen Fall könnten Empfänger unter der Domain „gewinnspiel-sparkasse.de“ mehr herausfinden und teilnehmen. Der Rest der Mail sieht absolut professionell und korrekt aus, die Ansprache erfolgt mit Vornamen, selbst der zuständige Kundenberater wird genannt. Dennoch ruft die Domain Unwohlsein hervor – so sehen die typischen Phishing-Domains auch aus.
Eine erste schnelle Prüfung erfolgt durch Eingabe des Begriffs „whois“ mit der gesuchten Domain in der Suchmaschine. Google schaltet vor reguläre Suchergebnisse eine KI-generierte Antwort. Die liefert einen Absatz, dass das die offizielle Gewinnspiel-Domain der Sparkassen sei. Dahinter ist unscheinbar eine Quell-URL zu finden, die ihrerseits auf „mehr-sparkasse.de“ verweist – was abermals ein Kandidat für typische Phishing-URLs ist.
Weitere Such-Iterationen führen dann dazu, dass die Sparkassen ihre offizielle Gewinnspiel-Seite benennen. Aber die Verwirrung wird schnell größer:
Die URL soll auf einmal nicht mehr zur Sparkasse gehören, wie laut Googles KI-Exzerpt offizielle Sparkassen-Seiten offenbar angeben.
Da Suchmaschinen oftmals Malware-Werbung unter den „Sponsored Links“, also als bezahlte Werbung einblenden und auch Inhalte von diesen Seiten für ihre Antworten verwerten, ist der KI-Antwort an der Stelle eher nicht zu vertrauen. Ohnehin sind diese Zusammenfassungen mit einer inakzeptabel hohen Fehlerquote versehen, das dürfte hier ebenfalls der Fall sein.
Die Indizienlage ist dadurch bis hier nicht eindeutig. Weiterhin erwähnenswert: Die Gewinnspiel-Domain wird bei Hetzner gehostet. Dort kann sich jeder eine Webseite mit beliebigen (freien) Domains einrichten. Die Seite liegt nicht bei der Finanz Informatik, dem IT-Dienstleister der Sparkassen, der auch die Domain „sparkasse.de“ in eigenen Rechenzentren betreibt. Das weckt ebenfalls Zweifel, da das eher für Phishing statt für ein reguläres Angebot der Sparkassen spricht.
Die Nutzung derartiger Domains stumpft die Nutzerinnen und Nutzer ab. Die gewöhnen sich daran, dass betrügerische URLs wie „portorueckzahlung-post.de“ echt sein könnten. Seriöse Unternehmen, die oftmals in Phishing-Angriffen imitiert werden, erziehen ihre User also entgegen ihren eigenen Warnhinweisen dazu, blindlings solchen Links zu folgen. Schlimmer noch: Die Banken sind die Ersten, die Rückzahlungen verweigern, sofern Kunden und Kundinnen auf solches Phishing hereinfallen.
Abhilfe wäre eigentlich sehr einfach zu schaffen. Das Internet kennt Subdomains. Also so etwas wie „www“ vor dem Seitennamen. Die lassen sich nicht einfach von Dritten registrieren, wie die potenziellen Phishing-Domains. Vorschlag für seriöse URLs wären im konkreten Fall etwa „gewinnspiel.sparkasse.de“ oder „mehr.sparkasse.de“.