Phishing Email

Phishing ist die perfide Art, ahnungslose und zumeist unbedarfte Anwender dazu zu verleiten, Login-Informationen für Webseiten (möglichst unbemerkt) kriminellen zu verraten. Die Login-Daten dienen den Betrügern dann, dem Anwender Schaden zuzuführen. Dies kann sein:

• Identitätsdiebstahl. Mit den Daten des bestohlenen gibt der Betrüger sich als eine andere Person aus.
• Kontoplünderung. Die Daten für ein Finanzportal werden genutzt, um das Geld vom Konto des betroffenen abzuheben.
• Kreditmißbrauch. Es werden z. B. Waren über das Kundenkonto des bestohlenen bestellt und an die Adresse des Betrügers geliefert. Der (unwissende) Warenanbieter stellt den Rechnungsbetrag dem bestohlenen in Rechnung.

Fast täglich bekomme ich derartige Betrugsversuche per Email zugeschickt. Einen Teil davon erkennt Thunderbird bereits automatisch und sortiert sie als Spam aus (Sie benutzen Outlook? Ihnen ist eh nicht mehr zu helfen. Sie brauchen nicht weiterlesen). Ein anderer Teil wird beim Lesen als Betrugsversuch markiert.

Dies meisten Phising Emails sind derart einfach gestrickt, daß man schon sehr dumm sein muß, wenn man darauf hereinfällt:

• Ich habe gar kein Konto bei der Deutschen Bank. Warum also sollten die mir schreiben oder warum sollte es mich interessieren, wenn die ein Problem mit meinem Konto haben?
• Eine Bank wird niemals mich per Email in sicherheitsrelevanten Dingen kontaktieren. Ich bekomme Nachrichten von denen per Post oder in meiner Mitteilungsbox auf deren Webseite. Sobald ich eingelogt bin, werden wichtige Nachrichten angezeigt oder ich kann sie dort irgendwo abrufen - so wie meine Kontoauszüge.
• Es ist anzunehmen, das die Mitarbeiter der Deutschen Bank halbwegs anständiges Deutsch schreiben können. Im Beispiel ist nicht ein Satz korrekt.
• Es fehlt jedes Logo und Impressum. Firmen sind gesetzlich verpflichtet, auch in E-Mails ein Impressum anzugeben. Darin stehen Dinge wie Anschrift, Kontaktdaten usw. Bei einer Bank dürfte das mindestens fünf Zeilen in Anspruch nehmen. Viele (internationale) Firmen ignorieren dieses Gesetz und deutsche Juristen kümmern sich um anderes. Aber wenn alles fehlt, was auf einem offiziellen Brief drauf stehen würde, sollte man doch aufmerken. Die meisten Emails von Firmen sind sogar völlig überfrachtet mit schwachsinnigen Informationen (bspw. dem beliebten unsinnigen Absatz zur Vertraulichkeit) und Weblinks.



• Sie werden keine Millionen in der spanischen Lotterie gewinnen - erst Recht nicht, wenn Sie nie mitgespielt haben.
• Es gibt keine Millionenschweren Erben.
• Keine Bankangestellter wird sich an Sie wenden, um Millionen Dollar von einem ungenutzten Konto an sie zu überweisen.
• Kreditkarten werden per Post verschickt und nicht per Email.
• Kein Mensch verschenkt Handys, Software oder sonst irgendwas einfach nur so, weil Sie ein netter Mensch sind, den keiner kennt.
• Sollte irgendwann mal jemand einen Trick finden, an der Börse sicher reich zu werden, wird er garantiert nicht sie darüber informieren.
• Abnehmen, schön werden, reich, berühmt wird man nicht per Email oder durch Pillen oder Wunderwebseiten oder geheime Insider Bücher.
• Täglich sterben Menschen/Kinder/Tiere. Wenn Sie helfen wollen, wenden Sie sich an eine seriöse Instutution, die sie schon kennen.
• Banken vergeben Kredite. Banken haben Filialen in jeder Stadt - gehen Sie dahin, wenn Sie Geld brauchen.
• Keine noch so süße, rassige, blutjunge Jungfrau will mit Ihnen Sex haben.

Solche plumpen Phishing Emails gehören einfach gelöscht und vergessen.

Firefox versucht Sie zu schützen. Wenn Sie eine Webseite aufrufen, die auf einer Schwarzen Liste steht, werden Sie entsprechend deutlich gewarnt. Sie können durch aufrufen einer speziellen (harmlosen) Webseite testen, ob der Schutz bei Ihnen funktioniert. Wenn Sie selber eine betrügerische Webseite entdecken und sich gerade auf dieser befinden, brauchen Sie in Firefox nur den Menüpunkt Hilfe/Betrugsversuch melden aufzurufen. Sie werden dann auf eine Seite von Google geleitet, auf der Sie betrügerische Webseiten auch manuell eintragen können, um sie zu melden.

Etwas schwieriger kann es werden, wenn Sie eine Email von einem Absender erhalten, mit dem Sie eine (geschäftliche) Beziehung haben (könnten). Beispielsweise Paypal, ebay, Amazon, Banken, DHL usw. Hier sind vor allem die großen Anbieter betroffen, denn wenn man als Betrüge an Millionen Empfänger eine Email verschickt, ist es recht wahrscheinlich, daß viele Empfänger dann denken, "hey, den Absender kenne ich, das kann wichtig sein".
Grundsätzlich: Es ist nie wichtig. Rechtswirksam kann nichts per Email und im Web erledigt werden. Es wird allgemein gemacht und so lange es keine Probleme gibt, ist es einfach. Aber eine Kündigung bedarf der Schriftform - und das ist keine Email. Ebenso kann keine Firma Ihnen irgendwie einen dauerhaften Schaden zuführen, wenn Sie auf eine Email nicht reagieren. Seriöse Firmen werden das auch nicht versuchen.

Die Email, die angeblich von DHL stammt und mich über eine ankommende Sendung informieren will, ist so ein Fall, der etwas Aufmerksamkeit bedarf, sich dann aber schnell als (schlechte) Fälschung entpuppt.

• Die erste Frage lautet, warum ich die Email bekomme. Klar, ich erwarte immer irgendeine Sendung. Es vergeht kaum ein Tag, an dem ich kein Paket bekomme - kann also sein.
• Eigentlich dürfte DHL mich aber gar nicht kontaktieren. Strenggenommen verstößt dann nämlich jemand gegen den Datenschutz. Wenn der Absender einer Sendung meine Daten (Email-Adresse und Name etc.) an DHL übermittelt, damit die mir Trackinginfos senden, begeht diese Person einen Rechtsbruch. Deshalb sollte man als Absender darauf verzichten und viele seriöse Firmen wissen das und machen es deshalb auch nicht. Es gibt aber einige, die das als "Service" falsch verstehen - leider. (Auch ich gehöre dazu: bei Sendungen ins Ausland, übermittle ich die Email-Adresse an den Kurierdienstleister, damit er den Empfänger benachrichtigen kann - bei Zustellungsproblemen und damit der Empfänger sieht, die Sendung ist unterwegs). OK, ignorieren wir dieses Datenschutzproblem, es hilft uns bei der Suche nach Betrugsmails eh nicht weiter.
• Fehlt eine persönliche Anrede, handelt es sich ebenfalls sehr wahrscheinlich um einen Betrugsversuch. Anreden wie "Leiber Kunde", "Sehr geehrte Damen und Herren" sind Zeichen dafür, daß der Absender Sie gar nicht kennt. Würde es sich tatsächlich um eine Angelegenheit handeln, die Sie persöhnlich betrifft, dann kann man davon ausgehen, daß der Absender auch mehr über sie weiß und Sie entsprechend anredet. Wird ein (teilweise) falscher Name benutzt ist das ebenfalls ein Merkmal für Phishing. Ihren Nachnahmen kann man oft anhand der E-Mailadresse erkennen: a.mueller@gmx.de wird vermutlich einem Herrn oder einer Frau Mueller (Müller) gehören. Für den Buchstaben vor dem Punkt kann der Absender sich etwas wie "Anke" ausdenken - vielleicht hat er Glück und rät richtig. Oder Sie denken, daß es ein harmloses Versehen ist.
• Der Absender ist merkwürdig. Lassen Sie sich den Absender nicht anzeigen? Fehler! Wieso schickt mir Stiebel-Eltron aus Finnland eine Email, die von DHL stammen soll? Ich habe keine Heizung gekauft - schon gar nicht in Finnland. Und wieso gibt die sich als "DHL Paket" aus. Auch wenn es im Laufe der Verdummung der Internetanwender üblich gewordenist, hier irgendeinen Blödsinn anzugeben, gehört da der Name des Absenders hin. Alarmzeichen! Löschen oder extreme Vorsicht!
• Aber da ist doch so ein cooler Weblink. Ich will daraufklicken. Man klickt immer auf Links, das macht man so. Ich auch. Dann machen Sie es doch, wenn Sie so unvorsichtig sein wollen. Internetznutzer mit Kopf gehen anders vor:
  • Lassen Sie sich niemals E-Mails im HTML-Format anzeigen, sondern immer als Plain-Text (reiner Text). Wenn es denn sein muß, können Sie noch "vereinfachtes HTML" wählen (Menü Ansicht/Nachrichteninhalt/). HTML ist die Beschreibungssprache für Webseiten. Webseiten! Nicht für Emails. Ja, alle finden formatierte Emails toll. Smileys sollen unbedingt lustig bunt sein, anstatt nützlich (Smileys sind Abkürzungen für Emotionen und kein künstlerisches Gimmick). HTML hat nichts in Emails verloren. Auch wenn Firmen das besonders toll finden, weil dann die Werbemails so schön aussehen (und die gleichen Emails dann bei Anwendern mit Sachverstand grausig aber lieber das, als daß ich auf Betrüger und Spammer hereinfalle und unnötige Infos über mich preisgebe).
    
    Liebe "Julia von ab-in-den-urlaub-deals-de.cc <info@ab-in-den-urlaub-deals-de.cc>", danke für dieses schöne HTML Spam-Beispiel!
    
    
  • Klicken Sie nicht auf einen Link, bevor Sie ihn geprüft haben. Wenn Sie mit dem Mauszeiger auf den Link zeigen (ohne zu klicken), erscheint in der Statuszeile am unteren Fensterrand die URL, zu der der Link weist. Bei HTML Emails kann hier ein ganz anderes Ziel stehen, als in der Nachricht vorgegaukelt wird. HTML sei dank...
    
    (vereinfachtes HTML): Der angebliche Link zu https://meine.deutsche-banke.de... führt tatsächlich zu http://staging.wexfordgaa.ie...
    
    
    
    Reiner Text: In der Nachricht stehen zwei Links. Jeder Link führt auf die Webseite, die man auch lesen kann. Die Angabe des zweiten Links in spitzen Klammern weist daraufhin, daß es sich um einen Link handelt, der in einer HTML-Ansicht nicht in der Nachrichtenansicht zu sehen gewesen wäre.
    
    Phishing Emails versuchen immer, Sie auf eine Webseite zu führen, die dann aussieht, wie die Webseite des vorgeblichen Anbieters. Auf der gefälschten Seite geben Sie dann Ihre Anmeldedaten (für die echte Webseite) ein. Der Phisher speichert die Daten und nutzt Sie umgehend, um sich selber auf der echten Seite anzumelden und dort den Schaden anzurichten. Schon der Besuch der Phishingseite kann gefährlich sein, denn dort kann ein Trojanisches Pferd darauf lauern, das sich auf Ihrem PC installieren will, um Sie dann dort direkt auszuspähen und noch viel mehr Daten abzugreifen (dagegen hilft eine Personal Firewall und ein Virenscanner). Um das Phishing zu verschleiern, werden oft URLs benutzt, die denen der echten Anbieter ähnlich sind. Selten wird das so plump gemacht, wie in dem Beispiel, bei dem die Zieladresse nun wirklich in keiner Form an die Deutsche Bank erinnert.
    Gängige Tricks sind:
    • Den Namen der Firma als Subdomain nutzen.
      Subdomains sind Angaben vor der eigentlichen Domain (ja, das Internet ist kompliziert- TelAviv). Eine Domain muß man sich (kostenpflichtig) bei einem seriösen Domainregistrar registrieren. Dort wurden die echten Domains von dhl.de, deutsche-bank.de, paypal.de, amazon.de usw. registriert. Ein Spammer wird kaum in der Lage sein, sich eine Domain zu registrieren, die nicht schon von diesen Firmen gekauft wurde. Subdomains kann man aber beliebig vergeben, wenn man eine eigene (beliebige) Domain besitzt. Subdomains wie http://ebay.blafusel.de sind für mich als Besitzer der Domain blafusel.de kein Problem. Beispiele: http://nsa.blafusel.de/, http://carlist.blafusel.de. Die Domain steht vor dem Länderkürzel (ccTLD), welches vor dem ersten Slash (nach der Protokollangabe "http[s]://") steht. Auf diese Domain verweist der Link und dort dann auf die Subdomain.
      
      Die Domain de ist in der ccTLD der Kokosinseln registriert (.cc). Der Link verweist auf die Subdomain jackpotjagd auf dieser Domain. Die Zielseite wird wohl kaum von der staatlichen, deutschen Lotteriegesellschaft genutzt werden.
      
      
    • URL Verkürzer.
      Goo.gl, tinyurl.com usw. bieten einen (praktischen) Service: Man gibt bei denen auf der Seite eine lange URL ein und die generieren daraus eine kurze. Diese kann man sich besser merken, passen auf Visitenkarten oder werden von Betrügern genutzt. Diese URL-Verkürzer sind erst einmal unbeteiligt, auch wenn man grundsätzlich solche Dienste nicht nutzen sollte. Wie immer: Führt der Link augenscheinlich nicht zum genannten Anbieter, ist Vorsicht geboten.
      
      
      
    • "Tippfehler"
      Der Domainname der Betrüger weist kleine Abweichungen gegenüber den regulären Domains auf. Ein Buchstabe zu viel/zu wenig, einer, der ähnlich aussieht: paipal, amazom, deutsche-bamk, ebey wären einige Beispiele. Derartige Abweichungen sind frei verfügbar und selbst seriösen Firmen ist es nicht zumutbar, all diese Domains auf ihren Namen zu registrieren, um Betrügeren einen Riegel vorzuschieben (obwohl es durchaus gemacht wird, z. B.: http://paipal.com/, http://www.amazom.de/, allerdings eher, um tatsächlich die Nutzer zu erwischen, die sich bei der manuellen Eingabe in der Adreßzeile vertippen, als aktiv damit gegen Phishing vorzugehen)
  • Anstatt auf einen Link zu klicken, besuchen Sie die Webseite des Anbieters direkt und eigenständig. Wenn es sich um einen Anbieter handelt, den Sie kennen, haben Sie dafür sicher ein Lesezeichen in Ihrem Browser angelegt. Öffnen Sie den Browser und rufen Sie die Webseite dort auf, in dem Sie den Eintrag aus Ihren Lesezeichen benutzen. Oder geben Sie die URI manuell in die Adreßzeile ein. Benutzen Sie am besten verschlüsselte Webseiten ("https://"). Jetzt können Sie sich auch anmelden, in dem Sie wie gewohnt vorgehen und die übliche Anmeldeprozedur durchlaufen. Nach der Anmeldung können Sie prüfen, ob tatsächlich irgendwelche ungewöhnlichen Vorkommnisse vorliegen. Wenn der Anbieter Ihnen etwas dringendes mitzuteilen hat, wird er dies auf seinen Webseiten jetzt machen.
    Oft hat der Anbieter bereits von dem Phishing-Versuch erfahren und warnt sie direkt auf der Startseite (die sie ja soeben eigenständig aufgerufen habe) deutlich vor dem Betrugsversuch.

Trotz aller Kriterien gibt es auch (halbwegs) gut gemachte Betrugsversuche. Hier deshalb ein Beispiel:

• Die E-Mail sieht so unübersichtlich aus, wie sie von ebay eben aussehen.
• Die (sichtbare) Absenderangabe von Paypal ist korrekt.
• Ein Teil der Empfängerangabe neben der E-Mailadresse ist zwar falsch, aber das kann man übersehen.
• Die Lieferadresse ist zwar falsch, aber das ist ja das Problem, warum ich handeln will: Da hat jemand etwas auf meinen Namen bestellt, mein Paypal-Konto belastet und läßt es sich an eine Adresse liefern, die nicht die meine ist.
• Die meisten Links in der Nachricht sind korrekt und führen zu Paypal. Etwas merkwürdig ist es, daß der Link "Transaktionscode: 1R427492RW499122G" auch nur auf die Startseite führt und nicht zu einer Unterseite, auf der mir dann Details (nach einer Anmeldung) angezeigt werden, aber wer achtet schon darauf.

Ein einziger Link führt ins Verderben: "Konfliktlösung" führt zu http://1161658475-paypal.de.check-pp.info/de....

Die Domain check-pp ist in der uTLD .info registriert. Zusätzlich wird noch auf die Sub(Sub)domain 1161658475-paypal.de verwiesen. Das kann nun wirklich nicht mehr Paypal sein.
Ruft man diese URL (in einer gesicherten Umgebung) auf, erfolgt ein Redirect (muß nicht schlimm sein, sollte man aber beachten) auf die URL http://www.paypal-e24.com/.... Auch diese Domain dürfte nicht Paypal gehören.

Da steht schon wieder, daß mir 129,50 EUR abgezogen werden und ich soll schnell handeln. In der Aufregung überliest man sicherlich die Rechtschreibfehler ("angefortdert", "stonieren") und die etwas holprige Grammatik mit "um...zu". Zudem kann ja auch Paypal Fehler machen. Also klicke ich auf die Schaltfläche.

Die Seite sieht gut aus. Kein Wunder, denn jeder kann jede Webseite abrufen und speichern, etwas ändern und auf einem beliebigen anderen Server speichern und anzeigen lassen.

Es gibt drei Arten von Links auf dieser Seite:

• Die meisten Links funktionieren nicht.
• Einzelne Links führen nur dazu, daß die gleiche Seite wieder angezeigt wird.
• Nur zwei Links machen was sie sollen. "Problem melden" und "Konfliktlösung" führen mich da hin, wo der Kriminelle mich haben will: Auf die falsche Anmeldeseite

Dumm nur, daß die Webseite nicht aussieht, wie die derzeit aktuelle Login-Seite:

Aber mal ehrlich: hätten Sie es bemerkt? Die Seiten sehen doch andauernd anders aus.

Als nächstes fällt aber auf, daß meine Anmeldedaten falsch sind. Da steht zar meine E-Mail Adresse, aber die nutze ich nicht bei PayPal. Also wie kommt die dahin? Der Browser kann die Anmeldedaten eintragen, wenn man eine einmal besuchte Webseite erneut aufsucht. Dazu vergleicht der Browser die URL mit den gespeicherten. Auf http://www.paypal-e24.com war ich noch nie und werde nie meine Daten eingeben und so kann die Adresse nicht vom Browser stammen. Also hat der Phisher die Adresse eingetragen. Die URL in der E-Mail enthielt eine eindeutige ID. Mit dieser konnte der Betrüger den Abruf der Webseite der an mich geschickten E-Mail zuordnen und weiß so, welchen Namen und welche E-Mailadresse er benutz hat. Diese Infos zeigt er in der fake Webseite an, damit ich glaube, alles ist in Ordnung. Weil der Browser nicht mein Paßwort eingibt, gebe ich es manuell ein.

Und in diesem Moment ist die Falle zugeschnappt.

Die Daten werden an den Betrüger übermittelt und er kann sich nun mit diesen Daten auf der echten Webseite anmelden, mein Konto leer räumen und verschwinden.

Weil das schon so gut geklappt hat, versucht der Phisher gleich noch mehr Daten abzugreifen: Auf den folgenden Webseiten werden persönliche Daten, Kreditkartendaten, Sicherheitsfragen usw. abgefragt. Wer das alles eingegeben hat, dem wird auch noch die Kreditkarte belastet usw.

Weitere Infos für mehr Sicherheit im Internet: Bundesamt für Sicherheit in der Informationstechnik