/dev/blog/ID10T

Exkurs: Phishing E-Mails erkennen

• Online • Comments
Advertisement

Da meine Spielerin Nummer zwei (= Gattin) just eine E-Mail von "MasterCard" bekam, über deren Echtheit sie sich nicht sicher war, will ich hier einen kurzen Exkurs im Erkennen von Phishing E-Mails durchführen. Für erfahrene Benutzer ist dies sicherlich ein alter Hut, aber so ein Leitfaden kann gar nicht oft genug im Internet stehen.

Dabei werde ich als Beispiel eben genannte Phishing E-Mail nutzen. Die Richtlinien sind aber auch auf jede andere vermutete Phishing E-Mail anwendbar. Ist sie nun vermeintlich von der Sparkasse, von Blizzard (World of Warcraft) oder von einem anderen Anbieter, dessen Accounts wertversprechend sind. So sah die E-Mail aus:

Fangen wir nun an, sie langsam zu zerlegen.

Layout

Billige Phishing E-Mails erkennt man oftmals schon am fehler- oder amateurhaften Layout. In unserem Fall sind mir zwei Sachen direkt ins Auge gefallen:

Die Überschrift enthält kein Logo. Wir sind im 21. Jahrhundert, Corporate Identy und Marketing beherrschen uns. So eine Benachrichtigung würde - wenn sie schon im HTML-Format geschickt wird - vermutlich nicht ohne ein Logo im Kopf auskommen.

Dafür hat man im Fuß der E-Mail direkt drei Mal das Logo. Allerdings total ungeordnet. Wie gesagt, ein amateurhaftes Layout.

Indirekte Anrede

Je nachdem woher die Phisher eure E-Mail Adresse bekommen haben, haben sie eventuell nicht mehr als diese. Also keinen Vor-, keinen Nachnamen und auch kein Geschlecht. Das schlägt sich dann in einer indirekten Anrede wie dieser nieder.

Als Kunde ist einfach nur die E-Mail Adresse eingetragen, die Anrede ist geschlechtslos und unbestimmt. Keine Firma, die etwas auf sich hält, wird nicht die in ihren Datenbanken gespeicherten Daten über euch nutzen, um die E-Mail zu personalisieren.

Sicherheitsproblem,

Es geht eigentlich immer irgendwie um ein Sicherheitsproblem. Entweder es wird vermutet, euer Account sei gehackt worden oder ihr müsst euch aus sonstigen Gründen ganz dringend neu authentisieren.

Verdächtig hierbei ist natürlich, dass so ein wichtiger Prozess so simpel über das Internet gemacht werden soll. Grade in Deutschland, dem Land der Bürokratie ist das mehr als unwahrscheinlich.

Auffällige Hyperlinks

Natürlich liegt eine Phishingseite mit ziemlicher Wahrscheinlichkeit nicht auf dem Server des eigentlichen Anbieters. Also müssen die Hyperlinks dahin maskiert werden. Hält man allerdings den Cursor über den Link, wird in allen modernen Browsern an irgendeiner Stelle der Originallink angezeigt.

Im Firefox ist das die im obigen Bild markiert Leiste unten, die eben beim Innehalten des Mauszeigers über einem Link erscheint. Aus Sicherheitsgründen habe ich die Adresse verpixelt, aber ich denke es ist klar, dass dieser Link nicht auf http://mastercard.com ging.

Eine solch wichtige Authentisierung würde unter Garantie auch über https abgewickelt. Ein http-Link ist also in diesem Zusammenhang ein weiteres Indiz.

Dies ist eines der wichtigsten Merkmale, es lässt sich nämlich nicht einfach fälschen. Wenn man sich die URL anschaut und die einem spanisch vorkommt, sollte man die anderen Kriterien genau prüfen.

Originalabsenderadresse

Bis hier waren die Maßnahmen zur Erkennung ziemlich einfach und leicht für Laien durchführbar. Nun wird es technischer. Einen beliebigen Absender bei E-Mails anzugeben, ist kein Problem. Allerdings kann man diese nicht überall ändern. Lässt man sich nun den Quelltext der E-Mail anzeigen - wie das geht variiert je nach Programm oder Webinterface des Anbieters - kommen schnell ernsthafte Zweifel an der Authenzität des Absenders auf.

Auch hier keine E-Mail oder Serveradresse, die auch nur im entferntesten etwas mit MasterCard zu tun haben könnte.

Geforderte Angaben

Achtung! Hierfür besucht ihr die Website. Dies empfehle ich nur mit entsprechenden Sicherheitsmaßnahmen und entsprechendem Fachwissen!

Bis hier sollte man eigentlich nicht kommen. Mir ist noch keine Phishing E-Mail untergekommen, die so perfekt gewesen wäre, dass ich einen Besuch der Website wirklich ernsthaft in Betracht gezogen habe. Steht man doch im Zweifel kann man sich auch die Website nochmal anschauen. Ich empfehle dafür mindestens Addons wie Noscript und NoFlash, besser eine virtuelle Maschine o.ä., um eine eventuelle Infektion des Systems zu verhindern.

Die Website sah so aus:

Ich will hier nicht nochmal alles bis ins kleinste Detail beschreiben, deswegen habe ich die Fehler durchnummeriert.

  1. Der Hyperlink war - natürlich - falsch. Weder https (was sich bei Firefox, Chrome und eventuell auch Internet Explorer durch eine veränderte Adressleiste bemerkbar macht), noch eine Adresse, die in irgendeiner Weise etwas mit MasterCard zu tun hat.
  2. Die Links zu anderen Unterseiten existierten nicht. Alle führten auf diese eine Seite. Oftmals machen sich die Phisher nicht die Mühe, diese Seiten auch noch nachzubauen.
  3. Dies sind alles Angaben, die das Unternehmen eigentlich schon in seiner Datenbank haben sollte. Immerhin ist dies keine Neuanmeldung.
  4. Speziell bei Kreditkarten: Die Prüfsumme (CCV) wird niemals irgendwo abgefragt außer bei der Bezahlung!
    Aber auch bei Sparkassen oder anderen Websites gilt: Es werden weder TANs abgefragt, noch geheime Fragen, noch Passwörter, die nicht zum Login benutzt werden.
  5. siehe 3.

Damit wären wir am Ende meiner Richtlinie angelangt. Sicherlich gibt es noch Ergänzungen, aber dies hier ist ein erster und in meinen Augen guter Leitfaden, um Phishing-Mails sicher zu erkennen und Internetbetrug zu vermeiden.

Advertisement
More posts
comments powered by isso

Advertisement