Spam, Phishing & Co Teil 2

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor immer neuen Fällen von Phishing. Die Vorgehensweise beschränkt sich längst nicht mehr auf Online-Shops oder Banken. Eine besonders perfide wie wirkungsvolle Methode ist es, wenn der Absender eine Behörde zu sein scheint.

Noch wirkungsvoller, wenn dabei dem Nutzer Geld zum Beispiel in Form einer vermeintlichen Steuerrückerstattung winkt. Schnell sind dann unüberlegt persönliche Informationen in ein amtlich aussehendes Webseiten-Formular eingegeben – obwohl Behörden niemals per E-Mail zu der Eingabe von vertraulichen Daten auffordern würden. Weitere Tipps zum Erkennen von Phishing-Kampagnen liefert das BSI auf der eigenen Webseite:

Phishing

Die gefährliche Umleitung für Ihre Passwörter!

Schlimm genug, dass Spammer Ihre Mailbox zumüllen, andere auf Ihrem PC oder den mobilen Geräten herumschnüffeln wollen oder Schadprogramme einem die Lust am Internet verderben. Phishing: Das klingt nach fischen gehen – und genau so ist es auch. Das Wort setzt sich aus „Password“ und „fishing“ zusammen, zu Deutsch „nach Passwörtern angeln“. Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten und haben damit einen Weg gefunden, um an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern heran zu kommen – die Nutzer geben ihre Daten einfach freiwillig preis.

Als seriöse Bank oder andere Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren. Entweder weil zum Beispiel die Kreditkarte ablaufe, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten. Angreifer spekulieren dabei darauf, dass der Empfänger der massenweise verschickten Nachrichten auch tatsächlich Kunde der vorgegebenen Firmen ist. Der Inhalt der so genannten Phishing-Mails wirkt dabei täuschend echt. Diese E-Mails im HTML-Format zeigen dann einen „offiziellen“ Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt. Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen. Das funktioniert über einen Klick mit der rechten Maus-Taste im Nachrichtenfeld und der Auswahl des Menüpunktes „Quelltext anzeigen“.

Trügerische Links und Webseiten

Der Empfänger wird für die Dateneingabe über einen Link auf eine Internetseite geführt, die zum Beispiel der Banken-Homepage ähnlich sieht. Auf den ersten Blick scheint alles ganz normal, selbst die Eingabeformulare sehen gleich aus. Die Phishing-Betrüger nutzen darüber hinaus entweder Internetadressen, die sich nur geringfügig von denen der renommierten Firmen unterscheiden. Oder aber sie fälschen die Adressleiste des Browsers mit einem JavaScript. Man glaubt also, man sei auf einer seriösen Seite, ist es aber nicht. Wer einer solchen Seite seine EC-Geheimnummer, Passwörter oder andere Daten anvertraut, der beschert dem Angler fette Beute und kann sich selbst jede Menge Ärger einhandeln.

Formal gesehen passiert ein solcher Phishing-Angriff also in zwei Etappen, die manchmal auch einzeln auftreten:

1. Da ist zum einen die E-Mail, die ein Vertrauensverhältnis ausnutzt und entweder auf eine bösartige Internetseite lockt oder Computerschädlinge im Schlepptau hat. Diese Mails sind heute übrigens oft perfekt formuliert, während sie zu Beginn der Phishing-Angriffe zumeist in sehr schlechtem Deutsch verfasst waren. Das lag daran, dass sie oft aus dem fremdsprachigen Ausland stammten und mit automatischen Übersetzungsprogrammen oder von Laien ins Deutsche übertragen wurden.
2. Zum anderen gibt es die Nachahmung von Teilen oder einer gesamten vertrauten Webseite, auch „Spoofing“ („Verschleierung“) genannt. Hier geschieht der eigentliche Betrug, indem die Angreifer einen getäuschten Nutzer zur Preisgabe vertraulicher Daten verleiten, die dann missbraucht werden.

Woran kann man Phishing-E-Mails erkennen?

• Die Absenderadressen sind zumeist gefälscht. Die Erkennung des gefälschten Absenders ist nur über die Header-Auswertung möglich.
• Die Anrede ist unpersönlich gehalten („Lieber Kunde der x-Bank!“)
• Dringender Handlungsbedarf wird signalisiert („Wenn Sie nicht sofort Ihre Daten aktualisieren, gehen diese verloren…“)
• Drohungen kommen zum Einsatz („Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren…“)
• Vertrauliche Daten (wie zum Beispiel PINs und TANs) werden abgefragt, etwa in einem Formular innerhalb der E-Mail.
• Die Mails enthalten Links oder Formulare, die vom Empfänger verfolgt beziehungsweise geöffnet werden sollen.
• Die Nachrichten sind manchmal (aber nicht immer!) in schlechtem Deutsch verfasst. Die Gründe dafür: Sie werden manchmal von Computerprogrammen aus anderen Sprachen automatisch übersetzt.
• Die E-Mails enthalten kyrillische Buchstaben oder falsch aufgelöste bzw. fehlende Umlaute (z. B. nur „a“ statt „ä“ beziehungsweise „ae“).

Woran kann man Phishing-Webseiten erkennen?

• Oft fehlt in der Adresszeile des Browsers das Kürzel „https://“, das eine gesicherte Verbindung signalisiert. Allerdings kann in manchen Fällen auch das gefälscht werden.
• In der Adresszeile erscheinen Internetadressen, die den echten ähnlich sind, aber unübliche Zusätze enthalten (zum Beispiel Zahlen: www.135x-bank.com oder www.x-bank.servicestelle.de)
• Auf der Login-Seite werden TAN-Codes abgefragt.
• Das Sicherheitszertifikat, erkennbar durch das Schlosssymbol in der Statusleiste, fehlt oder ist gefälscht.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)