Phishing-E-Mails perfekt getarnt

fishes♦ Die Anzahl von betrügerischen E-Mails nimmt mit jedem Jahr zu. Mit Phishing-Mails versuchen Betrüger an deine persönliche Daten und dein Geld zu kommen. Oft sehen diese Mails täuschend echt aus und es wird zunehmend schwieriger, sie von echten E-Mails zu unterscheiden. In diesem Artikel erfährst du, woran du Phishing-Mails erkennen kannst.


Spam-Mails

sind unerwünschte E-Mails, die Waren oder Dienstleistungen anbieten, enthalten aber keinen Schadcode wie Viren oder Trojaner.

Trojaner-Mails

enthalten eine Schadsoftware im Anhang oder einen Link im Text, der auf eine schädliche Webseite führt. Beim Öffnen eines der beiden wird ein bösartiges Programm ausgeführt.

Phishing-Mails

sind betrügerische E-Mails in denen die Empfänger dazu verleitet werden, sensible Daten preiszugeben. Dazu gehören Zugangsdaten zu Online-Diensten, Bankkontodaten, Kreditkartennummern, etc. Meist werden die Opfer über Hyperlinks im Mail-Text auf gefälschte Webseiten weitergeleitet, wo sie persönliche Daten eingeben sollen. Auf diese Weise gelangen die Daten im Klartext an die Betrüger, die damit illegale Transaktionen durchführen können.

Die betrügerischen Mails werden oft täuschend echt gestaltet, inklusive der Logos, Kopf- und Fußzeilen. Die häufigsten Phishing-Mails geben vor, von Bezahldiensten (z.B. Paypal), Banken, Partnerbörsen, Amazon, DHL oder Telekom zu kommen. Um an deine persönlichen Daten zu gelangen, enthalten die Nachrichten einen Hyperlink oder einen Anhang. Klickst du auf den Hyperlink wirst du auf eine gefälschte Webseite weitergeleitet, die der originalen Seite zum Verwechseln ähnlich sieht und auf welcher du zur Eingabe von Benutzername und Passwort aufgefordert wirst. Gibst du hier deine Zugangsdaten ein, bist du schon in die Falle getappt.


Phishing E-Mails erkennen

Es gibt eine Reihe von Merkmalen anhand derer sich Spam- oder Phishing-Mails erkennen lassen.

1. Sprachqualität und Inhalt

Am einfachsten sind Phishing-Mails am schlechten Deutsch zu erkennen. Die Sprachqualität der Inhalte verbessert sich jedoch zunehmend und so gibt es Nachrichten, die in perfektem Amtsdeutsch verfasst sind. Beim sogenannten Spear-Phishing haben die Betrüger bereits einen Teil deiner persönlichen Daten recherchiert und sprechen dich in der Anrede mit deinem Namen an.

Die Zeiten der Herzlichen-Glückwunsch-Sie-haben-gewonnen-E-Mails sind vorbei. Betrüger haben weitaus intelligentere Tricks gefunden, um uns zu täuschen. Aktuelle Phishing-Nachrichten enthalten Inhalte wie
DHL: „Ihr Paket konnte nicht zugestellt werden“,
DHL: „Für die Zustellung Ihres Pakets ist ein Nachporto von 2 € zu zahlen“,
Amazon: „Es tut uns leid, Ihre Lieferung verzögert sich“,
Amazon: „… ist es vonnöten, eine routinemäßige Sicherheitskontrolle durchzuführen …“,
Paypal: „Ihre Mithilfe ist erforderlich“,
Online-Shop: „Ihre Rechnung finden Sie im Anhang“ usw.

2. Hyperlinks im E-Mail-Text

Enthält der Nachrichtentext einen Hyperlink, muss der sichtbare Name nicht dem tatsächlichen Link entsprechen. Wenn du mit der Maus über den Link fährst, zeigt dir dein E-Mail-Programm in der Statuszeile das wirkliche Ziel des Links an. Beispielsweise führt der Link mit der Bezeichnung https://www.arcor.com auf eine Internetseite, die mit Arcor nichts zu tun hat, was du in der Statuszeile sehen kannst, wenn du den Mauszeiger über den Link bewegst.

Vorsicht ist auch geboten, wenn Links auf eine unsichere Seite zeigen, die mit http:// statt https:// beginnen.

3. Leicht veränderte Link-Adressen

Selbst wenn die tatsächliche Zieladresse plausibel erscheint, kontrolliere deren Schreibweise. So fällt es oft nicht auf, wenn aus der Link-Adresse www.telekom.de ein www.telecom.org gemacht wird, die auf eine gefälschte Webseite führen kann. Weitere Beispiele sind
www.payppal.com statt www.paypal.com oder
www.amzon.de statt www.amazon.de.

Ein besonders fieser Trick ist es, lateinische Buchstaben durch kyrillische zu ersetzen. So ist z.B. das lateinische „a“ optisch nicht vom kyrillischen zu unterscheiden und nur unter erhöhtem Aufwand zu erkennen:

https://www.targobank.de/service/index.html   (lateinisch)
https://www.tаrgobank.de/service/index.html   (kyrillisch)

Die beiden Links sehen auch im Browser völlig identisch aus und führen dennoch auf verschiedene Webseiten, da der 2. Link ein kyrillisches „a“ besitzt, der wiederum auf eine gefälschte Seite zeigen könnte. Probiere es aus.

Mehr darüber gibt es auf https://aware7.de/blog/kyrillische-zeichen-domains-spoofing.

4. Irreführende Domainnamen in Links

Der Hyperlink https://www.targobank.com.log-in.ru/anmelden/583165 sieht auf den ersten Blick so aus, als würde er zur Internetseite der Targobank führen. Tatsächlich führt der Link aber zu „log-in.ru“, einer in Russland registrierten Domain, was am Ende des Domainnamens (www.targobank.com.log-in.ru ) zu erkennen ist.

5. Hyperlink als Kurz-URL

Noch besser können die „Phisher“ die tatsächliche Linkadresse mit sogenannten Kurz-URLs (URL = Uniform Resource Locator) verschleiern. Diese sind per se nichts Schlechtes und werden vorrangig verwendet, um lange Webseitennamen (URLs) in Kurzform darzustellen. Die Schwachstelle einer Kurz-URL in einer E-Mail-Nachricht ist, dass sie die wirkliche Zieladresse vor dem Nutzer versteckt. Damit lassen sich Fake- und Phishing-Seiten geschickt tarnen. Die beliebtesten Kurz-URLs beginnen mit:
  bit.ly/… ,    tinyurl.com/…,    ow.ly/…,   goo.gl/…,   rebrand.ly/…

Beispiel: die Kurz-URL bit.ly/2vT5vqU führt zu der Webseite https://www.welt.de/wirtschaft/article…, was nicht ohne weiteres erkennbar ist.

Bevor eine Kurz-URL angeklickt wird, ist es ratsam, den Link mit Hilfe von Short-URL-Checkern, wie z.B. https://www.expandurl.net/ oder http://checkshorturl.com/, zu „entschlüsseln“, um der eigentlichen Zieladresse auf die Spur zu kommen.

6. E-Mail-Text als Bild

Um SPAM-Filter zu umgehen, betten einige Phisher ihren Text als Bild in die E-Mail ein. Oft enthält dieses Bild einen Link auf eine schädliche Webseite. Den Link erkennst du, wenn der Mauszeiger über dem Text (=Bild) als Hand dargestellt wird. Besser nicht drauf klicken!

7. Gefälschte Absender-Adresse

Die Absenderadresse einer E-Mail ist selbst für wenig Begabte relativ einfach zu fälschen. Kennt der Versender auch noch den Namen deiner Bank oder deines Bezahldienstes, kann die Fake-Mail kaum mehr von einem Original unterschieden werden. Bei einer verdächtigen Absenderadresse kannst du prüfen, ob sich der Absendername mit der E-Mail-Adresse deckt. Die Absenderadresse besteht meist aus einem Namen und einer E-Mail-Adresse. Beispiel eines gefälschten Absenders:

Rechtsanwaltskanzlei Kai Schmidt <german.o62cv@molda.lv> . Die Kanzlei Schmidt wird wohl kaum E-Mails von einem in Lettland (.lv) registrierten Server verschicken. Zweifelhaft sind auch Schreibfehler im Absender wie ra.kai.schmid@epost.com (Schmid vs. Schmidt).

Experten können in den Headerzeilen bzw. im Quelltext in den „Received“-Zeilen feststellen, woher die Nachricht stammt und ggf. den Webmaster des Providers unter der Abuse-Adresse über den Betrugsversuch informieren.

8. Gestohlene Absender-Adresse

Schadsoftware, wie der hochentwickelte Trojaner „Emotet“, ist in der Lage, die Kontakte und E-Mails auf deinem PC zu lesen. Hat sich einer deiner Freunde oder Bekannten diese Schadsoftware eingefangen, ist es möglich, dass du von diesem eine E-Mail mit schädlichem Anhang oder Link erhältst. Siehe auch meinen Beitrag zu Emotet.

9. E-Mail Anhang

Bei einer anderen Art von Phishing gibt der Benutzer seine Daten nicht selbst preis, sondern wird von Schadsoftware ausgespäht, die beispielsweise über E-Mail-Anhänge auf den eigenen PC gelangen. Bereits durch pures Öffnen eines Anhangs kann die Schadsoftware aktiviert werden und persönliche Daten an die Betrüger senden. Die Art der Dateien ist dabei unerheblich – es kann sich um Bilddateien, PDFs oder Dokumente handeln. Am gefährlichsten sind jedoch Dateien, die beim anklicken sofort starten. Sie tragen Dateiendungen wie etwa .exe, .scr, .bat, .com, .vbs, .sys, .cab oder .reg. Beachte, auch eine Datei mit dem Namen „MeinSchönstesPhoto.jpg.exe“ ist kein Bild, sondern ein ausführbares Programm, das beträchtlichen Schaden auf dem PC anrichten kann. Betrüger verstecken ihre schädliche Software auch gern in Microsoft Office Dokumenten (.docx, .xlsx). Wer solche Dateien trotz dieser Warnungen öffnen will, sollte die Datei vorher auf dem PC speichern und von einem Antivirenprogram oder VirusTotal checken lassen.

Die Nachrichtentexte sind so verführerisch verfasst, dass der Leser dazu verleitet wird, den Anhang zu öffnen. So löst eine unberechtigte Zahlungsaufforderung mit dem Anhang „rechnung789.zip“ die Empörung des Lesers aus und veranlasst ihn zum Öffnen des Anhangs.


Wie groß ist die Wahrscheinlichkeit, dass es sich um eine Phishing-E-Mail handelt?

Merkmale im E-Mail-Text

 
Fehlerhaftes Deutsch, Zeichensatzfehler oder fehlende Umlaute im E-Mail-Text sehr hoch
Anonyme Anrede „Sehr geehrter Nutzer/Kunde“ sehr hoch
Aufforderung zur Eingabe von persönlichen Informationen wie Kontonummer, PIN, Kennwort sehr hoch
Verlockende oder neugierig machende Angebote im Betreff oder im Text sehr hoch
Der Text ist als Bild eingebunden und enthält evtl. einen Link sehr hoch
Vermeintliche Erbschaft in Millionenhöhe sehr hoch
Behauptung, es seien Probleme mit einem Konto aufgetreten sehr hoch
Angebliche Sicherheitsprobleme sehr hoch
Aufforderung zum Öffnen einer Datei im Anhang hoch
Hyperlinks enthalten eine Kurz-URL, wie bit.ly, tinyurl.com, goo.gl etc. hoch
Der Text enthält Bilder oder Buttons mit Link hoch
Erwähnung von Dringlichkeit, Frist oder Drohung mit der Schließung eines Kontos hoch
Die verlinkte Seite ist nicht sicher. Zu erkennen an https hoch
Enthält Hyperlinks mäßig
   

Merkmale im E-Mail-Header

 
E-Mail-Adresse des Absenders passt nicht zum Absendername sehr hoch
Absender-Adresse enthält geringfügige Schreibfehler sehr hoch
Ort der Absender-IP-Adresse ist nicht in Deutschland (es sei denn man erwartet ausländische Nachrichten) hoch
Unbekannter Absender hoch
Der Absender ist eine Bank, Paypal, Amazon, Telekommunikations-Unternehmen mäßig
   

Merkmale im E-Mail-Anhang

 
Anhang hat die Dateiendung .exe, .scr, .bat, .com, .vbs, .sys, .cab oder .reg sehr hoch
Anhang ist im Zip-, Word-Format (.doc, .docx), oder Excel-Format (.xlsx) hoch

 


Massnahmen und Empfehlungen

  • Prüfe Hyperlinks in E-Mails sorgfältig bevor du darauf klickst. Meist gibt es andere Wege auf die gewünschte Webseite zu gelangen, indem du dich z.B. beim Online-Dienst einloggst.
  • Klicke Links zu Produkten und Sendungsverfolgungen nur dann an, wenn du sie eindeutig mit einem deiner Wareneinkäufe in Verbindung bringen kannst.
  • Lösche E-Mails mit Gewinnversprechen oder Millionenerbschaften ungesehen. Keiner hat Millionen zu verschenken.
  • Beachte, dass auch E-Mails mit Namen von Freunden und Bekannten gefälscht sein können.
  • Seriöse Onlinehändler und Banken fragen niemals per E-Mail nach persönlichen Daten.
  • Anhänge mit oben beschriebenen Endungen niemals öffnen, bevor du dich beim Versender nicht von deren Richtigkeit überzeugt hast.
  • Halte alle deine Programme mit neusten Updates aktuell. Insbesondere solche, die E-Mail-Anhänge öffnen, wie z.B. PDFs, Bilder und Dokumente.
  • Bleibe wachsam und seid dir stets bewusst wohin ein simpler Klick führen kann.

Schreibe einen Kommentar