Nur als Hinweis für User und Tomorrow selbst: Ich habe jetzt das zweite mal eine Phishing Mail bekommen. Screenshot anbei.
Danke für den Hinweis.
Bei mir schrillen da alle Alarmglocken: Gab es bei Tomorrow ein Datenleck? Oder war es nur Zufall, dass du als Tomorrowkunde auch eine Phishingmail mit Inhalt von Tomorrow erhalten hast?
Ich habe exakt die gleiche Phishing Mail erhalten, ist direkt im Spam gelandet, aber mir sind paar Punkte aufgefallen:
- Es wurde sogar mein 2 Vorname bei der Ansprache verwendet, den ich eigentlich nie verwende bei Anmeldungen (ich glaube selbst bei Tomorrow nicht)
- Es ist auf mein Email Postfach für Alles angekommen, denn für sichere Services, wie z.B. Banking nutze ich eine andere Email. Also würde ich hier Tomorrow als Quelle für die Emails ausschließen.
Ja, ich bekam die Mail auch auf eine Adresse, die nicht bei Tomorrow gelistet ist. Hatte erst auch ein sehr ungutes Gefühl, bis ich dann sah, welche Adresse verwendet wurde.
Okay das ist schon mal sehr gut. Dennoch seltsam, dass bei einer so kleinen Bank wie Tomorrow, Kund*innen so akkurat “getroffen” werden. Es liegt aus meiner Sicht nahe, dass irgendwoher bekannt ist, wer Mitglied bei Tomorrow ist, oder was meint ihr?
Ich bekomm wirklich von sehr vielen „Brands“ diese Mail. DKB, VR, Sparkasse, alles dabei. Erst heute habe ich die wortgleiche Mail im Comdirect-Outfit bekommen. Ich nutze spezifische Wegwerf-Mailadressen für alle Accounts, bei denen E-Mail einer der Anmeldefaktoren ist. Diese Mails sind wirklich NIE an eine dieser Mailadressen adressiert sondern landen zu 99 % bei einer meiner Geschäfts-Mailadressen, die seit Jahren die Mailadresse mit dem meisten Spam-Aufkommen bei mir ist.
Exakt, ich auch. Aber die meisten Brands sind riesige Player mit zig Millionen Kund* innen. Da funktioniert das Prinzip, rein zufällig an jemanden zu kommen der auch wirklich Kunde bei der Bank ist viel besser als bei so einer Nischenbank wie Tomorrow mit gerade einmal knapp über 100.000 Kund:innen
Ist bei Brute-Force doch egal. Bei Handynummern sind Leute häufig noch viel verdutzter und vermuten irgendwo ein Leck. Dabei wird einfach im großen Stil an generische Nummern eine Phishing-SMS rausgehauen. Natürlich gibt es auch gezieltere Attacken. Wenn du auf Instagram Tomorrow folgst, bist du ggf. von Interesse, die vermuten dann, dass du vielleicht auch ein Konto hast.
Bei Revolut zum Beispiel vermute ich stark, dass der Adressbuchabgleich genutzt wurde: Angreifer haben generierte Handynummern in ein Telefonbuch geladen und dann die „Kontakte teilen“-Funktion genutzt. Die App prüft dann, welche Telefonnummern aus dem eigenen Adressbuch ebenfalls ein Konto und den Status als „sichtbar“ in der App angegeben haben. So findet man gezielt Telefonnummern von Kontoinhaber:innen, die man weiter nutzen kann für Phishing, Fake-Anrufe vom Kundendienst … Ich deute Änderungen an der App, die dieses Vorgehen verhindern, als konkreten Hinweis dafür, dass Revolut diese Sicherheitsprobleme hatte. Ich beschreibe den Angriff und Revoluts Änderungen hier ganz bewusst nur recht grob, um niemanden auf Ideen zu bringen.
Klar gibt es auch Datenlecks wie zuletzt z.B. bei Mastercard oder Scalable Capital. Aber bessere Indizien als „treffende“ Phishing-Mails sind eher, wenn große Sammlungen von Mailadressen im Internet auftauchen, die einem solchen Vorfall zuzuordnen sind. Finanzdienstleister müssen strengen Regeln zum Melden von solchen Vorfällen folgen. Ich würde Spam-Zufallstreffern nicht zu viel Beduetung zukommen lassen. Wenn wir hier hunderte oder tausende von solchen Treffern hätten vielleicht.
Tomorrow hat die Einstellung „kund*innenstatus teilen“. Ich vermute das dies ermöglicht unter Geld senden nach Email Adresse zu suchen? Selbige Funktion nutze ich nicht, aber könnte diese nicht theoretisch ähnlich genutzt werden wie die von dir beschriebene Vorgehensweise bei Revolut?
Hallo, ich möchte alle informieren das aktuell Phishing Mails im Namen von Tomorrow unterwegs sind. Ich arbeite selber in der IT und aktuell befassen wir uns mit dem Thema Cybersecurity. Hätte gerne einen Screenshot der Mail hinzugefügt aber das geht hier nicht
Hi zusammen, leider war ich unachtsam beim Sichten meiner Emails (nebenbei mit einer Kollegin gesprochen) und habe tatsächlich auf den Link geklickt. Ist das noch jemanden passiert? Ich habe mein Konto bereits sperren lassen und bin aber unsicher wie ich nun weitermachen soll. Hat jemand Ideen? Ich hatte direkt danach mein Handy ausgemacht und als ich es wieder anschaltete darauf geachtet, dass die mobilen Daten ausbleiben und das WLAN, so dass es keine Internetverbindung gibt.
Vielen Dank für den Support! Liebe Grüße.
Hab soeben eine E-Mail von Tomorrow über diese Phishing-Mails bekommen und wollte hier nur einmal kurz anmerken, dass ich diese schnelle Reaktion und die Art und Weise der Warnung in der Mail wirklich gut finde! Dankeschön!
Ich hatte noch keine Phishing Mail was ich auch sonst so gut wie gar nicht bekomme, aber ebenfalls die Warnung.
Was ich seltsam fand als ich tomorrow and die hello@tomorrow.one eine Antwort schreiben wollte wurde diese vom Mailserver mit temporären Fehler abgelehnt.
Edit:typo
Da ist ein r zu viel in der Adresse. Sofern das kein Tippfehler von dir ist, wäre das der Grund.
Man muss sehr genau aufpassen.
Ja, ich fand auch gut, wie schnell gehandelt wurde. Danke ans Tomorrow-Team.
Ja huch, war nen typo von mir, sorry.
Habe mittlerweile auch ne auto. Antwort bekommen, scheint etwas temporäres gewesen zu sein… also dahingehend bei mir weiter keine phishing mail.
Aber ich schreib das auch nochmal hier rein, was ich für ein Vorschlag gemacht habe…
Erstes man klickt überhaupt keine links in Mails an, auch nicht von vertrauten Absender, wenn da kopiert man den link und fügt den in den Browser ein, wenn dann immer noch das in der Zeile steht was man kopiert hat dann ist es schon mal kein versteckter Linkverweis, im Thunderbird soweit man das einblendet, wird genau wie früher im Firefox, auch in der Statusleiste der Linkverweis angezeigt wenn man mit der Maus drüber geht, damit kann man sich das mit dem kopieren sparen um den Link zu überprüfen.
Das zweite was ich eigentlich mit für das wichtigste halte im E-Mail Verkehr, lasst Euch sämtliche E-Mails im reinen Plain/Text anzeigen und versendet Eure Mails in reinen Plain/Text Format. Ich empfinde es als eine absolute Katastrophe das 2023 immer noch 90 % der Firmen Nachrichten in HTML Formt am besten noch mir aktivierten Javascript schreiben und anzeigen lassen und sich dann wundern, das die Mitarbeiter jeden Script Kiddy ein Tor in das interne Netz öffnen. Wenn einer mit Ahnung ein solche Seite als E.Mail an tausend Mitarbeiter sendet, hat der eine sehr gute Trefferquote. Alleine das öffnen einer gescripteten E-Mail kann dafür sorgen das schadhafter Javacode gestartet wird, den man so nicht erkennen würde, ein Tunnel aufmacht und innerhalb Sekunden den Wurm oder sonst was auf die Festplatte oder in den RAM laden kann und dann wars das erstmal für die Kiste und bei Pech fürs Netzwerk. Für Firefox gibt es aber auch ein addon, wenn man die HTML Ansicht auf sichere Weise umschalten will. BTW, Newsletter arbeiten genau mit der selben Technik, dort sind Pixel Tracker implementiert was dem Absender die genau Uhrzeit und mittels übertragender IP auch der Standort von wo die Mail aufgerufen wird übersendet. Das alles ist nicht möglich in der reinen Text Format. Ich habe Euch nun informiert setzt es um, oder nicht aber dan auch mit den Konsequenzen.
Drittens finde ich es eine sehr gute Idee jede E-Mail die mich vom Absender erreichen mittels einen geheimen code zu Kennzeichen den nur ich kenne… als Beispiel trage ich in den Einstellungen den Code: blauer Ball rotes Boot grünes Pferd ein und bei tommorrow wird jedes mal wenn mir eine Nachricht gesendet werden soll, dieser code unten zusätzlich in die Signatur eingeführt.
So kann ich mit ziemlicher Sicherheit die Echtheit dieser E-Mail erkennen, da im besten Fall nur ich den Code kenne…
Oder man nutzt einfach den gesunden Menschenverstand. Stimmen Absender, Art zu schreiben, Rechtschreibung, eigene Adresse usw.? Eventuell hilft auch ein Vergleich mit einer vorherigen Mail des Absenders. Wenn man sich dann noch unsicher ist, kann man auch bei der betreffenden Stelle anrufen und nachfragen.
Was spricht gegen ein zusätzlichen Code als schnell überprüftes Merkmal? Geldscheine haben auch verschiedene Prüfungsmerkmale.