Bis vor wenigen Jahren war es meist noch ziemlich einfach, eine Phishing-Mail auf den ersten Blick zu erkennen: peinliche Rechtschreibfehler, grottenschlechte Grammatik, grauenhafte Gestaltung – alles klar ! Aber die Betrüger schlafen natürlich auch nicht auf den Bäumen und haben in letzter Zeit eine Menge dazugelernt. Die betrügerischen Mails werden immer professioneller und sind oft kaum noch von echten Mails zu unterscheiden. Neulich hatten wir mal wieder ein besonders fieses Exemplar in unserem Posteingang.
Die Email kam angeblich von Paypal. Als Absender war „PayPal Service“ angegeben, der Betreff lautete „Wichtig: Wir benötigen Ihre Mithilfe!“. Sie enthielt eine angebliche „Sicherheitsbenachrichtigung“ mit dem Hinweis, das PayPal-Konto müsse aktualisiert werden, da sich die Richtlinien geändert hätten.
Optisch und inhaltlich wirkte die Mail äußerst seriös. Sie war in korrektem Deutsch verfaßt und enthielt (fast) keine Rechtschreib- oder Grammatikfehler. Die Gestaltung war ansprechend und professionell.
Darüber hinaus war die Mail personalisiert: Im Kopf und in der Anrede wurde der korrekte volle Name eines Kollegen genannt, der auch tatsächlich ein Konto bei PayPal hat. Im Fuß außerdem noch der Hinweis: „Diese PayPal-Benachrichtigung wurde an x@y.de gesendet, weil Sie in Ihren E-Mail-Einstellungen unter „Neues von PayPal“ den Erhalt aktiviert haben.“. Beides eine durchaus gängige Praxis bei seriösen Absendern.
Alles in allem: Chapeau – da hat sich jemand wirklich sehr viel Mühe gegeben ! Eine fast perfekte Phishing-Mail, auf die man auch als vorsichtiger Mensch durchaus hereinfallen könnte.
Trotz der hervorragenden Mimikry ist es nicht allzu schwierig, eine solche Nachricht als Phishing-Mail zu entlarven. Auch in dieser gut nachgemachten Mail haben wir viele eindeutige Hinweise gefunden:
In der Mail wird in der Anrede ein korrekter Vor- und Nachname und im Fuß eine unserer normalen Email-Adressen angegeben. Aber die Daten passen nicht zusammen – das Paypal-Konto läuft über eine völlig andere Email-Adresse ! Ein eindeutiger Hinweis darauf, daß die Mail nicht von PayPal stammt. Wie die Betrüger an diese Kombination aus Name und Adresse gekommen sind, können wir uns allerdings nicht erklären.
Der Sinn und Zweck von Phishing-Mails ist es bekanntlich, das Opfer dazu zu bringen, auf die in der Mail enthaltenen Links zu klicken, um es so auf eine gefälschte Webseite zu locken. Wohin die Links wirklich führen, ist auf den ersten Blick nicht zu erkennen – der anklickbare, sichtbare Text in der Mail hat natürlich mit dem Linkziel nichts zu tun.
Der wirkliche Inhalt des Links läßt sich sehr einfach überprüfen:
Positioniert man den Mauszeiger über einem der Links (nicht klicken !!!), wird nach wenigen Sekunden eine gelbe Information eingeblendet, in der man die Zieladresse des Links ablesen kann.
Die Betrüger versuchen auf verschiedene Arten, die echte Zieladresse so gut wie möglich zu verschleiern. Man muß deshalb sehr genau hinschauen: ausschlaggebend für die Echtheit des Links ist immer, daß der Host auch wirklich dem angeblichen Absender gehört. Für das Beispiel Paypal muß also der erste Teil der URL auf paypal.com, paypal.de o.ä. enden. Von eventuell sehr langen und kryptischen Adressen darf man sich dabei nicht beeindrucken lassen. Ein paar Beispiele zum besseren Verständnis:
| www.paypal.de/xyz/... | OK |
| xyz.paypal.com/... | OK |
| paypal.xyz.com/... | FALSCH |
| www.xyz.com/paypal/... | FALSCH |
| www.paypal.abc-def-xyz.ru/... | FALSCH |
| www.xyz.ua/www.paypal.com/support/... | FALSCH |
In unserer Beispielmail war der Hauptlink, also der blaue Button, mit einer von dem Dienst bit.ly gekürzten URL belegt und somit ebenfalls verschleiert – ein seriöser Absender hätte dafür keinen Grund. Wohin der Link tatsächlich führt, ist nicht zu erkennen, mit Sicherheit aber nicht zu einer echten PayPal-Seite.
Ein weiterer Hinweis: Einige Textstellen sind unterstrichen und sehen aus wie Links, sind aber gar keine. Auch das „Menü“ ist nicht mit Links belegt. Auch das würde einem seriösen Absender wohl nicht passieren.
Im Kopf der Nachricht wird der Name des Empfängers unter „An:“ angezeigt. Bei einer seriösen Email sollte dort der eigene Name oder die eigene Email-Adresse zu sehen sein. Steht dort nur „info“ oder gar so etwas wie „Recipients“ oder „undisclosed-recipients“, ist das ein Hinweis darauf, daß die Email im Rahmen eines Massenmailings versendet wurde.
Auch im Header einer Email lassen sich manchmal Hinweise darauf finden, daß es sich um eine gefälschte Nachricht handelt. Der Mail-Header enthält detaillierte technische Informationen über den Absender, die beteiligten Mailserver und einiges mehr – nur ein kleiner Teil dieser Informationen wird normalerweise im Mail-Programm dargestellt. Die Anzeige des kompletten Headers funktioniert in jedem Email-Programm anders, hier eine schnelle Kurzanleitung für die beiden gängigsten Clients auf dem Mac:
Mail-Header in Apple Mail anzeigen
Die Email per Doppelklick in einem seperaten Fenster öffnen. Im Menü Darstellung – E-Mail – Alle Header wählen.
Mail-Header in Microsoft Outlook anzeigen
In der Liste die Email mit der rechten Maustaste (oder gedrückter ctrl-Taste) anklicken. Im Kontextmenü „Quelle anzeigen“ wählen.
Nicht immer sind die Informationen im Mailheader aufschlußreich. Über die IP-Adresse des absendenden Servers läßt sich der Provider herausfinden – meist sind das aber ganz normale Provider, die mit dem Phishing gar nichts zu tun haben.
Bei unserer Beispielmail war das anders, denn der Absender war anscheinend ein besonders dämlicher Zeitgenosse. Im Header konnten wir den Namen eines der beteiligten Server ablesen. Der Name des Servers war „adolfhitler“. Allen Ernstes. Da waren dann wirklich keine Fragen mehr offen.
Vor Phishing-Mails ist eigentlich mittlerweile zur Genüge gewarnt worden, aber die gefälschten Mails werden immer besser und raffinierter. Einen hundertprozentigen Schutz vor den Betrügern gibt es nicht. Hier nochmal die wichtigsten Tips:
1. KEIN seriöses Unternehmen verschickt Emails, in denen dazu aufgefordert wird, auf einen Link zu klicken und seine Kontodaten anzupassen.
2. Kopf einschalten. Erst denken, dann klicken !
3. Im Zweifelsfall: Googeln. Sucht man nach einem Textbaustein aus einer zweifelhaften Mail, wird man in den meisten Fällen schnell fündig.
(b181/al)
