Gerade flatterte mir folgende Mail ins Postfach:

Der Text lautet:

Wunderschönen Tag Sil Encer (Hier bitte den echten Namen denken),

die allgemeinen Geschäftsbedingungen der Deutschen Bahn AG werden sich im Bezug auf die Richtlinien der Sicherheit im Personenverkehr ab dem 29. März 2015 verändern.

Wir bitten alle Kunden der Deutschen Bahn AG, sich einen Abgleich ihrer personenbezogenen Daten zu unterziehen. Sie werden daraufhin an die bei der Registration angegebene Adresse eine persönliche Identifizierungskarte (DBpI) der Deutschen Bahn AG erhalten.
Diese dient für mehr Sicherheit in Bus und Bahn und ist ab dem 29. März 2015 von jedem Kunden mitzuführen.

Es entstehen für Sie keine weiteren Kosten, die Registrierung sowie die Identifizierungskarte (DBpI) sind kostenlos.

Jetzt Identifizierungskarte (DBpI) beantragen!
Ihre Vorteile der Online-Registrierung:

Gratis Identifizierungskarte (DBpI)
Entfall der Kosten der Bahncard für drei Monate
kostenlose Reservierungen im Bereich der zweiten Klasse
Nutzungen aller exklusiven Services, z.B. Benachrichtigung im Verspätungsfall

Der Registrierungsprozess der Karte nimmt nur wenige Minuten in Anspruch. Der Schutz Ihrer persönlichen Daten ist uns wichtig. Alle Daten werden sicher übertragen und sind vor externen Zugriffen geschützt dank moderner Verschlüsselungstechnologie.
Wir danken Ihnen für das entgegengebrachte Vertrauen und bitten Sie die auftretenden Unanehmlichkeiten zu entschuldigen.

Mit freundlichen Grüßen

Ihr Team von www.bahn.de

Diese E-Mail wurde automatisch versendet, bitte antworten Sie hierauf nicht. Wenn Sie uns etwas mitteilen möchten, nutzen Sie bitte das Kontaktformular unter www.bahn.de/kontakt

Ich muss schon sagen: Das ist eine der besten Scam-Mails die ich je gesehen habe. Hier stimmt nahezu alles: Layout, Grafikelemente, Text. Und ich bin tatsächlich Bahnkunde mit fester BahnCard und werde regelmäßig von der Bahn mit Post bedacht, die genauso aussieht. Der Link “Jetzt Identifizierungskarte (DBpI) beantragen!” führt zu einer Seite, die genauso aussieht wie eine Bahnseite. Hier soll man sich mit Nutzernamen und Passwort der DB-Seite anmelden.

Weder der SpamAssassin auf dem Server noch ein lokaler Junk-Filter noch eine Spam-Protection Software haben die Mail auch nur im Ansatz als bedenklich eingestuft, und auch die Website ruft weder bei F-Secure noch bei Google keinen Alarm hervor.
Warum es eine Fälschung sein muss?

• Die Bahn redete einen in Mails nicht mit “wunderschönen Tag” an.
• Das Datum 29.05. wäre viel zu knapp um allen deutschen Bahnkunden ID-Karten auszustellen.
• Wozu überhaupt ID-Karten? Bahncards SIND ID-Karten nach den AGB der Bahn.
• Die angepriesenen Verbilligungen (3 Monate sparen! Gratis Reservierungen!) sind unrealistisch hoch für eine Maßnahme, die als Pflicht ausgegeben wird. Oder unrealistisch niedrig, denn “Benachrichtigung im Verspätungsfall” ist eh schon kostenloser Standard.
• Wenn der ganze Zinnober wegen der “Richtlinien der Sicherheit im Personenverkehr” gemacht wird, und diese Richtlinien so weitreichende Folgen hätten, müsste das eine AGB-Änderung nach sich ziehen. Und die müsste Bahncard-Kunden zuerst mitgeteilt und gründlich erläutert werden.
• Die Buttons auf der Seite stimmen nicht (Mehrfachpfeile, die Bahn verwendet nur einfache)
• Die Seite, auf die der Link “Jetzt Identifizierungskarte (DBpI) beantragen!” zeigt, trägt zwar bahn.de in der URL – aber die Domain ist .de-Fahrkarten.com. Registriert auf eine Privatperson unter einer deutschen Adresse, das definitiv nicht die deutsche Bahn.

Also: Finger weg, das ist ein Scam um an die Nutzerdaten von Bahnkunden zu kommen!*

———
* Von diesen Bahnkunden haben etliche, dank der Strafgebühren der Bahn auf andere Zahlungsmittel, ihre Zahlungsweise in den letzten Wochen auf Bankeinzug umgebogen.Damit sind Einkäufe in beliebiger Höhe und ohne jegliche weitere Kontrolle möglich. Das die Bahn auch im Jahr 2015 keine Zwei-Faktor-Authentifizierung hinbekommt, davon wollen wir lieber nicht anfangen.

8

Gefällt mir!