Dass Banken es mit der Sicherheit bei E-Mails nicht so genau nehmen, wie man eigentlich erwarten sollte, kann man bei jeder E-Mail von Paypal sehen. Andere Banken, mit denen ich leider ähnliche Erfahrungen gemacht habe, sind die Consorsbank und leider inzwischen auch eine Sparkasse.
Was stört mich an diesen E-Mails?
- Sie enthalten HTML-Links.
- Noch schlimmer: Sie enthalten HTML-Links zu Domains, die nicht die Domain der Bank sind.
Warum ist das ein Problem?
Die Banken lamentieren in ihren Ratschlägen zur Sicherheit immer, man solle sich vor Phishing in Acht nehmen und niemals auf einen Link in einer E-Mail klicken, sondern stattdessen immer das Bookmark im Browser verwenden oder die Adresse manuell in die Adresszeile eingeben.
Das sehe ich im Prinzip auch so, aber welchen Sinn machen dann diese Links in deren E-Mails? Ich soll sie ja explizit nicht verwenden! Anscheinend gilt das aber nur für Phishing-Mails, nicht für “offizielle” E-Mails der Bank, denn sonst würden sie keine E-Mails mit Links verschicken.
OK, und woran erkenne ich eine E-Mail von der Bank? Die Absenderadresse alleine reicht nicht aus, wie die vielen Spam-Mails beweisen, die ich von anscheinend legitimen Absendern erhalte.
Warum sind Links auf Domains, die nicht die Domain der Bank sind, schlimmer?
Links auf Domains, die nicht die Domain der Bank sind, sind insofern schlimmer, dass man dabei noch nicht einmal vorher prüfen kann, ob es sich um einen legitimen Link handdelt. Sie werden gerne benutzt, um bei E-Mails zu zählen, wie viele Leute auf einen solchen Link klicken. Man könnte dafür natürlich auch eine Adresse in der Domain der Bank verwenden, aber das wäre ja zu einfach.
Banken verschicken also Mails, die zumindest zwei Anzeichen von Phishing-Mails enthalten, und wundern sich dann, wenn ihre Kunden auf Phishing hereinfallen. Warum wohl? Weil die Banken sie darauf trainiert haben solche Links zu verwenden!
Warum schreibe ich gerade jetzt darüber?
Weil sich gerade wieder eine weitere Bank in den Reigen der Idioten eingereiht hat: Trade Republic.
Protect yourself from fraud.
Hello [mein Vorname],
Keep your Trade Republic account and card safe from fraud:
* Only share your card details when you’re ready to pay for a good or service on a trusted, secure website.
* Never share authorization codes, like your Apple or Google Pay code, with anyone, even if they claim to be from Trade Republic.
* Ensure you only access your account through the mobile app or our website: https://traderepublic.com.
(Diese URL war ein Link zu https://[subdomain].sendgrid.net/ls/click?[long parameter string])* Make use of limits, to control your maximum daily and monthly spending.
If you suspect fraud, instantly freeze and terminate your card in the app.
Card settings ❯(“Card Settings” war ein Button mit einem Link auf eine weitere https://[subdomain].sendgrid.net/ls/click?[long parameter string])
WTF denken sich die Leute dort eigentlich? Mal ganz abgesehen davon, dass die E-Mail von Trade Republic in Deutschland kommt und an einen Kunden in Deutschland gerichtet ist, also auf Deutsch sein sollte.
Oder sollte ich ihnen unrecht tun und es handelt sich um eine Phishing-Mail? Wenn das der Fall wäre, dann wäre sie aber vermutlich nicht an die spezielle E-Mail-Adresse gerichtet, die ich für die Kommunikation mit dieser Bank eingerichtet hatte.
Das ist nämlich eine Vorsichtsmaßnahme, die ich verwende: Für jeden offiziellen Korrespondenten (Banken, Firmen …) eine eindeutig ihm zuzuordnende E-Mail Adresse zu verwenden. So erkenne ich auch schnell, wenn wieder irgendwer seine Kundendaten verkauft oder geklaut bekommt: Ich erhalte Spam an diese E-Mail-Adresse oder noch schlimmer, ich erhalte Bounces von Spam, der von dieser E-Mail-Adresse verschickt wurde.