Phishing

Ich bin heute in meiner Mail-Inbox über den bisher besten Phishing-Versuch gestolpert. Was Phishing bedeutet, erklärt euch kurz und bündig Onkel Wikipedia:

Unter Phishing versteht man Versuche, über gefälschte World Wide Web-Seiten, E-Mail oder Kurznachrichten an Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. […]

Typisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Stelle. […]

http://de.wikipedia.org/wiki/Phishing

Ein Phishing-Versuch kommt hin und wieder einmal vor, die meißten sind aber so schlecht gemacht, dass man sie direkt mit Vollspann in den Mailtrash ballert. Gelegentlich kann das Mailprogramm des Vertrauens (bei mir Thunderbird) Phishing-Versuche auch selbst erkennen und warnt dann, obwohl das oft wegen oben bereits genannten qualitativen Mänglen nur ein weiterer Wink mit dem Zaunpfahl ist.

Der Versuch von heute war jedoch anders, um genau zu sein besser, da er auf den ersten Blick wirklich echt aussah. Aber es gibt einige Merkmale, anhand derer man Phishing-Versuche im überwiegenden Fall der Fälle erkennen kann, diese möchte ich mit dem heutigen Versuch als Beispiel kurz erläutern.

Versuch einer Phishing-Atacke auf meine Paypal-Benutzerdaten

Hier sehen wir die Phishing-Attacke, Ziel sollen wohl die Nutzerdaten meines PayPal-Kontos sein. Generell zielen solche Attacken meist auf geheime Daten von Onlinebanking oder anderen Onlinezahlungen ab, daher wird auch von diesen Anbietern ständig darauf hingewiesen, dass man von offizieller Seite niemals nach geheimen Kontodaten wie Passwörtern oder PINs gefragt wird. Aber schauen wir uns die Mail ein bisschen genauer an.

Auf den ersten Blick ist die Fälschung gut gelungen, es wird das Design von Paypal glaubhaft kopiert, es sind echte Kontaktinformationen von Paypal angegeben (im Bild nicht sichtbar) und der Text ist frei von Rechtschreib- und formalen Fehlern, die sonst das Identifizieren von Phishing einfach machen. Schlechte Phishing-Versuche kann man schnell am Google Translator-Stil (falscher Satzbau, falsche Synonyme, falsche Anreden, etc.) identifizieren.

Doch bereits beim zweiten Blick fallen einige Ungereimtheiten im Text auf. Zuerst ist da die Formulierung “Ihr PayPal-Kundenkonto wieder in Sicherheit zu bringen.” Das ist nicht korrekt formuliert, man kann ein Konto nicht “in Sicherheit bringen”. Offizielle Kundendienste achten auf eine formale und korrekte Ausdrucksweise und würden solch eine Formulierung nicht verwenden. Weiterhin wird das Problem nicht genau benannt: “Bei ihrer letzten Anmeldung sind uns ungewöhnliche Aktivitäten aufgefallen.” Was sind bitte “ungewöhnliche Aktivitäten” ? Ok, das könnte jemand gewesen sein, der sich unrechtmäßig Zutritt zu meinem Benutzerkonto verschaffen wollte. Als Sicherheitsmaßnahme soll also “der Zugang zu ihrem PayPal-Kundenkonto vorübergehend eingeschränkt” sein. Ob das wirklich so ist, lässt sich ganz einfach überprüfen: paypal.de – anmelden – nichts. Ich kann ganz normal auf mein Konto zugreifen. Das sollte bereits stutzig machen. Wichtig ist auch, dass man nicht auf einen Linkt in der Mail klickt, um den Status des Dienstes zu überprüfen, sondern dass man die Adresse selbstständig in den Browser eingibt. Links lassen sich ebenfalls fälschen und verweisen dann auf nicht vertrauenswürdige, ebenfalls gefälschte Seiten, wie ich weiter unten noch zeigen werde.

Neben dem Text gibt es noch weitere, bessere Methoden, einen Phishing-Angriff zu erkennen. Aufmerksam darauf bin ich geworden, weil die Mail nicht als Spam markiert wurde. Die Mailadresse des PayPal-Kundenservice steht nämlich auf meiner Spamliste (das sollte nicht jeder so handhaben, ich habe aber meine Gründe dafür). Bei einem Blick auf den Absender fällt auch direkt auf, warum die Mail nicht als Spam identifiziert wurde.

Falscher Absender bei der Phishing-Attacke auf meine PayPal-Benutzerdaten

Die Kundenservice-Mailadresse von Paypal ist service@paypal.de. Wie im Bild oben zu sehen, ist der Absender der Phishing-Mail ein völlig anderer, er hat nicht mal das Wort “Paypal” in der Adresse. Aber selbst wenn er das Wort “Paypal” in der Adresse hätte, würde ihn das immer noch nicht glaubwürdig machen, er könnte ja auch eine Paypal-Adresse gehackt haben. Dass die Mailadresse jedoch nicht zum vermeindlichen Absender (PayPal – Kundenservice) passt, ist ein weiteres Indiz, welches unseren Anfangsverdacht bestätigt. Und es geht noch weiter.

In Phishing-Mails ist häufig ein Link oder Button vorhanden, den man klicken soll, um dort seine Nutzerdaten zu hinterlegen (“Bitte bestätigen sie sich über folgenden Button durch einen Abgleich ihrer Daten als rechtmäßiger Inhaber.”). Neben der generell fragwürdigen Aufforderung – wir erinnern uns daran, dass offizielle Stellen uns NIEMALS nach unseren geheimen Nutzerdaten fragen würden – kann man durch einen kleinen Trick schnell herausfinden, wo der Button uns hinführt.

Falscher Link bei der Phishing-Attacke auf meine PayPal-Benutzerdaten

Bei einem sogenannten “hover” über den Button (das ist der Prozess, bei dem sich der Mauszeiger in eine Hand verwandelt – ohne klicken!) wird in der Statusleiste das Ziel des Links oder Buttons eingeblendet. Dieser nützliche Trick macht also sichtbar, wo die Reise bei einem Klick hingeht, bevor man den Klick durchführt. Das ist sehr nützlich und klappt im Browser bei allen Links. Wie oben zu sehen, führt der Button keineswegs zu einer paypal.com oder paypal.de – Webseite, sondern zur Domain paypal-sicher-de.org. Das ist ein mehr als fragwürdiges Ziel, obwohl die Domain das Wort “Paypal” beinhaltet. Keine offizielle Stelle würde eine solche Buzzword-Domain für einen derart pikanten Vorgang auswählen. Hinzu kommt noch, dass die Verbindung über das ungesicherte http-Protokoll hergestellt werden soll (sichtbar an dem http:// vor der Domain). Offizielle Stellen verwenden ausschließlich das https (das s steht für secure) oder vergleichbare Protokolle für den Austausch sensibler Daten, dadurch wird die Verbindung verschlüsselt. Ihr könnt beim nächsten Onlinebanking oder Onlineshopping ja mal darauf achten, solbald ihr eure Daten wie Nutzername und Passwort oder PIN eingeben sollt, steht in der Adresszeile ein https://.

Nun, was passiert jetzt aber, wenn ich den Link trotz besseren Wissens klicke? Das klicken eines Links sollte eigentlich noch kein Sicherheitsrisiko bedeuten, aber man weiß ja nie. Todesmutig habe ich den Link also trotzdem geklickt.

Firefox blockiert den Link bei der Phishing-Attacke auf meine PayPal-Benutzerdaten

Da war Firefox also schlauer als ich. Spätestens jetzt sollte jeder gemerkt haben, dass es sich bei der so echt aussehenden E-Mail um einen Betrugsversuch handelt. Aber selbst wenn Firefox sich irren sollte, es gibt noch ein letztes Kriterium, welches den Phishing-Versuch entgültig enttarnt hat.

Die Mail wurde nämlich an meine alte web.de-Mailadresse geschickt. Ich habe aber meine bei PayPal hinterlegte Mailadresse schon Ende April auf die aktuelle nsitte.de-Mailadresse umgestellt. Die web.de-Adresse existiert in der aktuellen Datenbank von PayPal also gar nicht mehr. Ergo kann die Mail gar nicht von PayPal gewesen sein, das absolute KO-Kriterium.

Die Moral von der Geschicht hat damals eine große deutsche Elektronik-Fachmarktkette ganz gut zusammengefasst:

Lasst euch nicht verarschen!

Phishing ist in den meißten Fällen leicht zu durchschauen, wenn die Nachfrage nach persönlichen, sensiblen Daten generell kritisch hinterfragt wird. Ich habe durch die hier präsentierten Tricks und gesunden Menschenverstand bisher alle Phishing-Attacken erfolgreich durchschauen können. Das ist aber keine Garantie dafür, dass ich nicht irgendwann doch eine Betrugs-Mail erhalte, die so gut gemacht ist, dass ich ihren Inhalt glatt glaube. Aber auch in dem Fall kann man immer noch bei offizieller Stelle nachfragen ob das alles seine Richtigkeit hat, notfalls per Telefon. Natürlich gilt auch hier: Keiner Telefonnummer in der E-Mail vertrauen, sondern die richtigen Kontaktdaten auf der offiziellen Homepage oder bei der Auskunft erfragen.

Weitere Infos rund ums Thema Phishing und Onlinebetrug hat die Verbraucherzentrale NRW:

http://www.vz-nrw.de/online-banking-zieht-gauner-an

Nachtrag: Anscheinend hat der gute Doktor Allwissend auch in letzter Zeit eine Phishing-Mail bekommen: http://youtu.be/Sef9mRUUFX4?t=2m4s

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>