RSS

Deutsche Bahn Identifizierungskarte (DBpI) – Vorsicht, falsche Bahnmail

22 Mrz

Gerade flatterte mir folgende Mail ins Postfach:

Bildschirmfoto 2015-03-22 um 20.10.31

Der Text lautet:

Wunderschönen Tag Sil Encer (Hier bitte den echten Namen denken),

die allgemeinen Geschäftsbedingungen der Deutschen Bahn AG werden sich im Bezug auf die Richtlinien der Sicherheit im Personenverkehr ab dem 29. März 2015 verändern.

Wir bitten alle Kunden der Deutschen Bahn AG, sich einen Abgleich ihrer personenbezogenen Daten zu unterziehen. Sie werden daraufhin an die bei der Registration angegebene Adresse eine persönliche Identifizierungskarte (DBpI) der Deutschen Bahn AG erhalten.
Diese dient für mehr Sicherheit in Bus und Bahn und ist ab dem 29. März 2015 von jedem Kunden mitzuführen.

Es entstehen für Sie keine weiteren Kosten, die Registrierung sowie die Identifizierungskarte (DBpI) sind kostenlos.

Jetzt Identifizierungskarte (DBpI) beantragen!
Ihre Vorteile der Online-Registrierung:

Gratis Identifizierungskarte (DBpI)
Entfall der Kosten der Bahncard für drei Monate
kostenlose Reservierungen im Bereich der zweiten Klasse
Nutzungen aller exklusiven Services, z.B. Benachrichtigung im Verspätungsfall

Der Registrierungsprozess der Karte nimmt nur wenige Minuten in Anspruch. Der Schutz Ihrer persönlichen Daten ist uns wichtig. Alle Daten werden sicher übertragen und sind vor externen Zugriffen geschützt dank moderner Verschlüsselungstechnologie.
Wir danken Ihnen für das entgegengebrachte Vertrauen und bitten Sie die auftretenden Unanehmlichkeiten zu entschuldigen.

Mit freundlichen Grüßen

Ihr Team von http://www.bahn.de

Diese E-Mail wurde automatisch versendet, bitte antworten Sie hierauf nicht. Wenn Sie uns etwas mitteilen möchten, nutzen Sie bitte das Kontaktformular unter http://www.bahn.de/kontakt

Ich muss schon sagen: Das ist eine der besten Scam-Mails die ich je gesehen habe. Hier stimmt nahezu alles: Layout, Grafikelemente, Text. Und ich bin tatsächlich Bahnkunde mit fester BahnCard und werde regelmäßig von der Bahn mit Post bedacht, die genauso aussieht. Der Link „Jetzt Identifizierungskarte (DBpI) beantragen!“ führt zu einer Seite, die genauso aussieht wie eine Bahnseite. Hier soll man sich mit Nutzernamen und Passwort der DB-Seite anmelden.

Bildschirmfoto 2015-03-22 um 20.19.04

Weder der SpamAssassin auf dem Server noch ein lokaler Junk-Filter noch eine Spam-Protection Software haben die Mail auch nur im Ansatz als bedenklich eingestuft, und auch die Website ruft weder bei F-Secure noch bei Google keinen Alarm hervor.
Warum es eine Fälschung sein muss?

  • Die Bahn redete einen in Mails nicht mit „wunderschönen Tag“ an.
  • Das Datum 29.05. wäre viel zu knapp um allen deutschen Bahnkunden ID-Karten auszustellen.
  • Wozu überhaupt ID-Karten? Bahncards SIND ID-Karten nach den AGB der Bahn.
  • Die angepriesenen Verbilligungen (3 Monate sparen! Gratis Reservierungen!) sind unrealistisch hoch für eine Maßnahme, die als Pflicht ausgegeben wird. Oder unrealistisch niedrig, denn „Benachrichtigung im Verspätungsfall“ ist eh schon kostenloser Standard.
  • Wenn der ganze Zinnober wegen der „Richtlinien der Sicherheit im Personenverkehr“ gemacht wird, und diese Richtlinien so weitreichende Folgen hätten, müsste das eine AGB-Änderung nach sich ziehen. Und die müsste Bahncard-Kunden zuerst mitgeteilt und gründlich erläutert werden.
  • Die Buttons auf der Seite stimmen nicht (Mehrfachpfeile, die Bahn verwendet nur einfache)
  • Die Seite, auf die der Link „Jetzt Identifizierungskarte (DBpI) beantragen!“ zeigt, trägt zwar bahn.de in der URL – aber die Domain ist .de-Fahrkarten.com. Registriert auf eine Privatperson unter einer deutschen Adresse, das definitiv nicht die deutsche Bahn.

Also: Finger weg, das ist ein Scam um an die Nutzerdaten von Bahnkunden zu kommen!*

———
* Von diesen Bahnkunden haben etliche, dank der Strafgebühren der Bahn auf andere Zahlungsmittel, ihre Zahlungsweise in den letzten Wochen auf Bankeinzug umgebogen.Damit sind Einkäufe in beliebiger Höhe und ohne jegliche weitere Kontrolle möglich. Das die Bahn auch im Jahr 2015 keine Zwei-Faktor-Authentifizierung hinbekommt, davon wollen wir lieber nicht anfangen.

 
10 Kommentare

Verfasst von - 22. März 2015 in Service

 

10 Antworten zu “Deutsche Bahn Identifizierungskarte (DBpI) – Vorsicht, falsche Bahnmail

  1. ckater

    22. März 2015 at 23:33

    Der Scam ist auch wegen der Aktualität super: Da werden zwei Dinge aufgeriffen, die aktuell in den Medien waren: Drei Monate BahnCard-kostenlos (das räsoniert mit aktuellen Meldungen, die Bahn möchte Drei-Monats-BahnCards anbieten) und die kostenlose Sitzplatzreservierungen, die die Bahn ebenfalls plant, anubieten.

    Gefällt mir

     
  2. Owley

    23. März 2015 at 06:21

    Und wie sieht es mit der E-Mail-Adresse des Absenders aus? Das ist immer mein erstes Indiz.

    Gefällt mir

     
  3. Silencer

    23. März 2015 at 10:30

    Modnerd: as war mein erster Gedanke: Noah, die sind ja fix – und dann habe ich nochmal überlegt 🙂

    Owley: In dem Fall war die Absendeadresse gefälscht, noreply at bahn.de gibt es wirklich.

    Gefällt mir

     
  4. Owley

    23. März 2015 at 10:48

    Aber kann man da nicht schnell hinter die Adresse blicken? Eine völlige Verschlüsselung ist doch kaum möglich?

    Gefällt mir

     
  5. Silencer

    23. März 2015 at 12:38

    Äh, wie meinen? Man kann natürlich in den Header der Mail gucken, sofern das Mailprogramme den noch anzeigt (Apple Mail z.B. bietet das m.W. nicht mehr an). Dann sieht man… ja, was eigentlich? Jede Menge Kram, den man als Normalnutzer kaum versteht. In dem vorliegenden Fall sind aber sogar im Header Bahndaten eingetragen. Man kann halt alles fälschen, wenn man sich Mühe gibt. Deshalb schreibe ich gerade über dieses Ding – da hat jemand richtig Arbeit reingesteckt. Sieht man nicht all zu oft, und Handwerkskunst kann man ja auch mal bewundern 🙂

    Gefällt mir

     
  6. ckater

    23. März 2015 at 13:16

    Doch, geht noch in Mail:

    Gefällt mir

     
  7. Die Wunderbare Welt des Wissens

    23. März 2015 at 20:18

    Na, bei „Gratis“ hätte ich schon nicht mehr geglaubt, dass das von Grube ist.

    Gefällt mir

     
  8. Die Wunderbare Welt des Wissens

    23. März 2015 at 20:20

    OT: Als ich neulich eine Bahnfahrt buchte, war Kreditkarte konstenfrei als Zahlungsmittel verfügbar.
    Entweder a) gibt es das wieder, b) nur für registrierte Kund_innen oder c) nur für BC-Besitzer_innen?

    Gefällt mir

     
  9. franky1980

    2. Juni 2015 at 07:21

    Hab diese Mail gestern auch bekommen. Allerdings mit „Sehr geehrter Herr ….“ am Anfang.
    Das dumme ist nur: ich bin gar kein Bahn-Kunde…

    Gefällt mir

     
  10. Silencer

    2. Juni 2015 at 09:15

    Da war es sicherlich einfach, den Fake zu erkennen 🙂

    Ich musste echt überlegen, denn als Bahnkunde bekommt man alle Nase lang Mails, die exakt so aussehen. Also, fast.

    Gefällt mir

     

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: