Neue Welle mit gefälschten Visa-Warnungen

Derzeit kursiert erneut eine E-Mail, die versucht, Kreditkarteninformationen von Visa-Kunden zu erschleichen, indem sie vor angeblichem Missbrauch warnt. Die Kreditkarte des Empfängers, beziehungsweise deren Nummer, sei gestohlen worden, behauptet in der Mail angeblich der Visa Service. Um falsche Abbuchungen zu vermeiden, solle er ein Formular des "Zero Liability"-Programms ausfüllen. Die Web-Seite, auf die die bei heise Security eingetroffenen Mails verweisen, wurde bereits von KT Web Hosting gesperrt. Es ist jedoch nicht auszuschließen, dass Mails mit anderen, noch funktionierenden URLs unterwegs sind.

Nachdem mit Microsofts Patch aus MS04-004 die Angabe von irreführenden Benutzernamen wie http://visa.com@irgendwo.com nicht mehr funktioniert, wenden die Betrüger einen neuen Trick an, um die echte Zielseite zu verbergen. Die URL in den bei Heise eingegangenen Mails verweist eigentlich auf http://www.demospeople.com/. Allerdings ist dies selbst dem HTML-Quelltext so nicht zu entnehmen, da er sie nur in codierter From enthält: "http://%77%77%77%2E%64%65%6D%6F%73%70%65%6F%70%6C%65%2E%63%6F%6D"

Grundsätzlich sollte man solchen Warnungen per E-Mail sowieso mit einer gehörigen Portion Skepsis begegnen. Insbesondere direkte Links zu externen Seiten führen dabei häufig zu den Web-Seiten von Betrügern. Eine genaue Untersuchung der URLs zeigt jedoch, dass man nicht auf die Seiten des angeblichen Absenders geleitet wird. (ju)