Passwörter fischen und andere Betrügereien. Eine Seuche.

Jeder kennt Spam. Emails landen unerwartet und unerwünscht in den elektronischen Postkästen von Millionen Usern. Von schnellem Reichtum bis zum ewigen Leben wird da praktisch alles beworben. Wenn auch nur ein Bruchteil eines Prozentes der Empfänger auf diese Email reagiert, und davon auch wiederum nur ein winziger Teil davon wirklich einen Kauf tätigt, dann sind das immer noch zig-Tausende. Und damit hat es sich für die Versender wahrscheinlich schon rentiert.

Diese Spam-Emails sind so alt wie das Internetzeitalter. Früher landeten sie wirklich im Posteingang, bis die Mail-Betreiber schön langsam dazulernten und solchen Müll immer besser erkannten und ihn in den Spam-Ordner verschoben.

In diesem Spam-Ordner finden sich aber nicht nur Spam-Emails. Die sind zwar lästig, aber wenn man sie ignoriert, passiert eben auch nichts. Außerdem sind sie an ihren Versprechungen eben meist leicht zu erkennen.

Daneben gibt es aber immer wieder sogenannte Phishing-Emails – und die sind weitaus gefährlicher. Sie verleiten einen zu Aktionen, die im Nachhinein richtig wehtun!

Wie man solche Phishing-Versuche erkennt und wie man darauf reagieren soll – oder eben nicht – möchte ich im Folgenden darstellen. Keine Angst, es wird nicht technisch. Wer sich von den Begriffen Link und Button nicht abschrecken lässt, wird damit gut zurecht kommen!

Quelle: pixabay

Der Begriff "Phishing" ist ein zusammengesetztes Kunstwort (Kofferwort), wobei das "P" vom englischen "password" (Kennwort) und der Rest vom englischen "fishing" (fischen, angeln) stammen. Damit das gesamte Wort dann nicht "pishing" oder "pfishing" lautet, wurde noch das h nach dem P eingefügt, sodass es dann eben wie "fishing" ausgesprochen wird.

Insgesamt trifft es seine Bedeutung recht gut. Denn genau darum geht es beim Phishing: Um das Fischen von Kennwörtern.

Wie beim Angeln nach Fischen gibt es auch beim Phishing mehrere Methoden. Ich beginne mit der raffiniertesten und ausgefeiltesten elektronischen Variante, der Email. Weitere Betrugsmöglichkeiten folgen dann im Anschluss.

Email

Phishing-Emails sind ein Dauerthema. Praktisch jeden Tag schaltet eine Bank oder eine Versicherung auf ihren Webseiten eine Warnung mit dem Inhalt "Achtung, Phishing-Emails im Umlauf. Seien Sie bitte vorsichtig!"

Schön und gut. Aber: Wie erkennt man so eine Phishing-Mail? Worauf ist hier zu achten?

Ich hab selbst vor kurzem zwei Phishing-Mails erhalten. Beide schienen von der deutschen Postbank zu kommen und waren wirklich gut gemacht!

Die nun folgenden Screenshots stammen von meinem Spam-Ordner (ich verwende Google Mail / GMail). Wenn in GMail einmal eine Email als Spam erkannt wurde und im entsprechenden Ordner landet (Google ist da sehr zuverlässig), geht GMail sehr defensiv vor:

• Es wird eine dicke, rote Warnmeldung eingeblendet: Achtung, erscheint verdächtig
• Es werden keine Bilder nachgeladen und angezeigt; somit weiß der Absender nicht, ob ich die Email gelesen habe oder nicht.
  [Anmerkung: Über Bilder, die nachgeladen werden, erkennt der Angreifer, ob jemand die Email gelesen hat. Seriöse Email-Programme blenden daher Bilder von unbekannten Absendern zunächst nicht ein, sondern erst nach Zulassung durch den Empfänger]
• Links, die ursprünglich in der Email enthalten waren, wurden entfernt; somit kann man nicht einmal irrtümlich so einen Link aktivieren
• Erst durch meine ausdrückliche Bestätigung "alles OK, kein Spam" wird all das wieder aktiviert, was GMail zuvor deaktiviert hat; vor allem die Links. Aber dann könnte es unter Umständen gefährlich werden.

Obere Hälfte der ersten Email
Bitte auf das Bild klicken, um es größer darzustellen

Untere Hälfte der ersten Email

Die oben dargestellte Email ist eindeutig ein Phishing-Versuch. Sie ist zwar schon wirklich gut gestaltet, es gibt aber ein paar Hinweise, die die Sache eindeutig machen.

Unerwartete Email

Ich bin gar kein Kunde der Postbank, warum sollte ich also dort irgendetwas bestätigen?

Ähnliche Beispiele:

• Ich soll den Versand eines Paketes verfolgen? Ich hab gar nichts bestellt, ich erwarte kein Paket.
• Die Zahlung bei XY ist nicht durchgegangen? Ich hab zu XY keinerlei Geschäftsbeziehungen. Ich habe dort weder ein Service in Anspruch genommen, noch etwas bestellt, noch sonst irgendwas mit XY am Hut.
• Hacker sind in mein Konto bei XY eingedrungen? Von mir aus, ich hab bei XY gar keines.
• Meine Nichte Carmen ist in Untersuchungshaft und braucht dringend Kaution? Hm, dabei hab ich gar keine Nichte namens Carmen.

Der verdächtige Absender

Der Absender <...@****ve.bu**> hat so gar nichts mit der Postbank zu tun, von der diese Email ja angeblich stammen soll. Wäre diese Email wirklich von der Postbank, hätte sie ihre eigene Domain @postbank.de verwendet.

In vielen Fällen ist der Absender noch auffälliger falsch; der lautet dann etwa "@****wer22**34lk.ru" oder ähnlich.

Die unpersönliche Anrede

"Sehr geehrter Herr/sehr geehrte Frau". Unpersönlicher geht's kaum. Klar, der Absender weiß in Wirklichkeit nicht, wen er da anspricht, er hat keinen Namen parat, also muss er es bei der allgemeinen Anrede belassen.

Wäre die Postbank der tatsächliche Absender, würde sie ihre Kunden selbstverständlich mit dem richtigen Namen ansprechen – sie hat ihn ja.

Holpriges Deutsch

In diesem Beispiel gibt es nur zwei verdächtige Stellen, nämlich "Urn" statt "Um"; und das fehlende ü bei der "betrugerischen Verwendung". Insofern ist diese Email ja direkt ein Musterbeispiel an korrektem Deutsch! 

In den meisten Fällen gibt es da viel mehr Fehler im Text! Fallfehler, Artikelfehler, Groß-/Kleinschreibung etc. In älteren Emails oft so gravierend, dass es beim Lesen echt weh tut! 

Fehlendes oder schlechtes Logo

In dieser Email fehlt es gleich überhaupt. In vielen Fällen wird aber ein fehlerhaftes oder veraltetes Firmen-Logo eingeblendet.

Verdächtiger Inhalt

Keine Bank, keine Versicherung, keine andere nennenswerte Firma spricht ihre Kunden zu so heiklen Themen per Email an. 

Hier geht es immerhin um eine App für die sogenannte Zwei-Faktor-Authentifizierung. Das sind Apps, die auf einem Handy laufen und die beim elektronischen Banking für ein sicheres Login und sichere Zahlungen sorgen. Nur wer das Handy in der Hand hat, kann ein Login oder eine Zahlung bestätigen. Früher waren das die TANs und SMS-TANs, heute sind es eben diese Apps (sind sicherer).

Niemals würde eine seriöse Firma Kontodaten, User-IDs, Verfügernummern oder gar Kennwörter per Email anfordern! 

Was sehr wohl per Email kommen kann, sind Hinweise auf neue Geschäftsbedingungen oder Hinweise, dass im Online-Konto wichtige Inhalte hinterlegt sind; mit der angeschlossenen Bitte, sich doch dort anzumelden und nachzusehen. Das wäre der richtige Weg.

Falscher Inhalt

In meinem Beispiel ist auch der zweite Screenshot interessant. Darin werden Personen des Managements der Postbank genannt.

Ich hab nachgesehen. Die zitierten Personen gibt es tatsächlich – allerdings bei einer anderen Bank, nämlich der DKB. Die Manager der Postbank sind ganz andere Personen!

Sieht echt extraseriös aus, ist aber extradreist!

Zeitdruck und Drohung

Der Zeitdruck ist in meinem Beispiel nicht so extrem. Aber sehr oft – und das ist ein wirklich typisches Merkmal einer Phishing-Email – wird eine recht kurze Frist gesetzt, bis zu der man handeln muss; andernfalls wird das Konto gesperrt oder es passiert sonst was Schreckliches.

Verdächtige Links

In vielen Phishing-Emails sind Links eingebettet, die einen zu einer angeblichen Service-Seite führen, auf der man das angebliche Problem lösen kann.

Diese Seiten sind natürlich Fälschungen, die dem Original möglichst ähnlich sehen sollen. Wenn man dem blauen Link "BestSign" (auf dem zweiten Screenshot) folgen würde, käme man sicherlich auf eine Seite, die ganz nach Postbank aussieht – aber es halt nicht ist. In diesem konkreten Fall wäre das eine Seite auf "digitalhive.buzz".

Vielmehr soll man dort irgendwelche Daten eingeben, die dem Angreifer wichtig sind. Im Glauben, diese Daten an die Postbank zu übermitteln, liefert man sie aber direkt beim Angreifer ab. Wenn das dann User-IDs, Kennwörter, Verfügernummern etc. sind, hat sie ab nun auch der Angreifer.

Die Katastrophe beginnt zu laufen.

Verdächtige Links erkennen

Auf PC oder Notebook gibt es aber eine ganz einfache Methode, um herauszufinden, auf welche Adresse einen ein Link bringen wird.

Man fährt dazu mit der Maus über den Link – aber ohne ihn wirklich anzuklicken! Sondern liest vielmehr in der linken unteren Ecke des Browsers (Chrome, Firefox, Edge, Opera, ...) die Adresse dieses Links ab. Das macht ein Browser bei jedem Link. Ich hab zu Demozwecken einmal ein Beispiel auf Wikipedia abfotografiert:

Die Maus schwebt über dem Link "Social Engeneering", wird aber nicht geklickt.
Währenddessen wird die Zielseite des Links am unteren Rand angezeigt (blau unterlegt)

In meinem konkreten Phishing-Beispiel würde am unteren Rand dann so etwas stehen wie "https://service.*****ve.bu**/bestsign"; und eben nicht irgendwas mit "postbank.de"

Mit der Maus über den Link fahren, ohne zu klicken, ist also eine ausgezeichnete Methode, um herauszufinden, wohin man geleitet werden soll!

Short Links

Manche Links können wirklich lang sein. Es gibt daher Services, die aus einem langen Link einen kurzen machen. Dieses Service führt im Hintergrund ein Verzeichnis, das einen solchen "short link" wieder in seinen ursprünglichen langen verwandeln kann. 

Beispiel:

aus
https://www.test.de/Internetsicherheit-Yubikey-kleiner-Schluessel-fuer-grossen-Schutz-4807972-4807984/

wird
https://t1p.de/v9ejx

Sicher gut gemeint. Problem dabei: Man sieht diesem short link nicht an, wohin er tatsächlich führt. Also bitte eine gewisse Vorsicht walten lassen, wenn ihr so einem short link begegnet!

Erkennung am Smartphone

Ziel des Links anzeigen

Gerade der letzte Punkt mit der blauen Markierung, die das Ziel des Links anzeigt, ist äußerst hilfreich. Aber leider nur auf PC und Notebook verfügbar, aber nicht auf dem Handy! Hier gibt es kein "Schweben der Maus über einem Link".

Auf dem Handy muss man auf den Link drücken und  – wichtig – gedrückt halten, bis ein Menü aufpoppt, das weitere Aktionen anbietet. Das sieht dann so aus:

Das Ziel des Links hab ich rot eingerahmt

Die Gefahr dabei: Man klickt irrtümlich zu kurz und folgt damit dem Link, anstatt dass man ihn lang genug drückt. Es geht also, ist aber nicht ganz ungefährlich!

Die Gefahr ist auf dem Handy doppelt groß, weil viele Links nicht nur per Email sondern per Messenger (WhatsApp, Signal, SMS etc.) daherkommen.

Kleinerer Bildschirm – weniger Anzeige

Durch den im Vergleich zu PC oder Notebook kleineren Bildschirm ist natürlich auch weniger Platz da, um die Inhalte darzustellen.

Zum Vergleich noch einmal eine zweite Phishing-Email, nur diesmal dargestellt auf dem Handy:

Darstellung auf dem Handy

Hier ist die Absender-Adresse nicht sofort erkennbar (roter Rahmen). Erst ein Klick auf den Pfeil (blauer Rahmen) macht ihn sichtbar.

Die Informationen sind schon da, sie sind aber nicht sofort zu sehen. Das macht die Situation auf dem Handy noch einmal um einen Tick schwieriger!

* * * * * * *

So, ich hoffe, ihr seid noch nicht erschlagen nach soviel Input! Denn das war bis jetzt nur das "Unterkapitel Email"! Wenngleich das wahrscheinlich wichtigste.

Es gibt aber noch viel viel mehr Möglichkeiten, wie Betrüger wichtige Informationen aus uns herauslocken. 

Weitere Methoden

Social Engeneering: Der Klassiker

Früher kam ein Angreifer natürlich auch schon auf Geheimnisse Fremder. Die klassische Methode war dann das sogenannte Social Engeneering. Damit ist gemeint, sich durch soziale Beziehungen und Handlungen das Geheimnis zu erschleichen. Das ging dann vom Einschleimen beim Opfer über das Ansetzen von Liebhabern bzw. Liebhaberinnen bis zum Bestechen von Zimmermädchen oder Kammerdienern.

Selbstverständlich ist social engeneering auch heute noch weit verbreitet. Die Kosten spielen dabei aber eine wichtige Rolle; es muss also schon ein sehr wichtiges Geheimnis sein, an das der Angreifer da herankommen möchte. Da reden wir dann von diplomatischen oder militärischen Kreisen oder von Industriespionage.

Vergiftete USB-Sticks: Die unwiderstehliche Versuchung

Etwas einfacher, aber doch noch aufwändig, sind USB-Sticks. Die lässt der Angreifer wie zufällig bei seinem Opfer liegen: Auf dem Schreibtisch, im Waschraum, neben der Kaffeemaschine, oder oder oder. Jedenfalls deutlich sichtbar und leicht zu entdecken.

So ein USB-Stick ist einfach unwiderstehlich. Ständig ruft er: "Steck mich an deinem Computer an! Steck mich an! Steck mich endlich an!"

Wenn das arme Opfer den USB-Stick dann tatsächlich ansteckt, nimmt das Unheil seinen Lauf. Denn ohne es zu bemerken, hat sich in aller Stille ein Programm installiert, das sich wie eine Tastatur verhält. Nur ist die Tastatur jetzt so präpariert, dass sie jeden Tastenklick aufzeichnet (ein sogenannter keylogger) und an den Angreifer sendet. Der erfährt dann natürlich alles, was da so eingetippt wird. Besonders spannend sind da eben Texte und Inhalte, für die sich der Angreifer interessiert. Aber vor allem wird sich unser Opfer früher oder später an etlichen Stellen mit User-ID und Kennwort anmelden! Und nachdem der Angreifer ja mitgelauscht hat, kann der das in Zukunft auch.

Da kann die Übertragung von User und Passwort noch so gut verschlüsselt sein: Eingegeben hat das Opfer beides ja in Klarschrift, eine etwaige Verschlüsselung kommt da zu spät!

Das Teuflische dabei: Dieses unerwünschte Verhalten des USB-Sticks als Tastatur kann von den Systemen (Windows, ...) nicht erkannt und auch nicht unterbunden werden. Das hat wirklich zutiefst technische Gründe, die ich hier nicht auch noch hineinstopfen möchte. Außerdem hab ich ja ganz zu Beginn versprochen, dass es nicht (zu) technisch wird.

Daher sei es noch einmal ganz deutlich gesagt:

Niemals. Wirklich niemals. Einen USB-Stick unbekannter Herkunft am Computer anstecken!

Telefon, SMS und Emails: Die neueren Methoden

Schneller, einfacher und billiger sind da schon die neuen elektronischen Medien. Die Emails sind oben schon ausführlich behandelt, bleiben noch Telefon und SMS.

Telefon

Es gibt unzählige Varianten des Betrugs via Telefon. Hier nur ein paar bekannte Methoden:

• Da gibt es etwa den berühmten Enkel-/Neffentrick: Jemand gibt sich beim Angerufenen als Neffe oder Enkel aus, der gerade erst diese Verwandtschaft entdeckt hat und nun "Hallo" sagen möchte. Leider, leider steckt er meist in einer finanziellen Klemme und braucht dringend Geld.
• Neuerdings rufen "Polizei" oder "Staatsanwaltschaft" statt des Neffen an. Meist hat dann Sohn oder Tochter einen Unfall verursacht, sitzt in U-Haft und braucht dringend Kaution.
  Diese Variante gibt es inzwischen auch bei uns auf englisch; da ruft dann das "FBI" an. Meist leicht zu erkennen an einer monotonen Computerstimme. Die Gauner machen sich nicht einmal mehr die Mühe, selbst anzurufen! Hatte ich bereits zwei Mal. 
• Noch dreister: Die "Polizei" ruft an und berichtet von zahlreichen Einbrüchen in der Umgebung. Sie empfiehlt daher dringend, Bares und Schmuck aus der Wohnung zu schaffen. Als spezielle Serviceleistung würde dann ein "Polizist" vorbei kommen und die Pretiosen abholen. Es reicht, wenn man alles in ein Plastiksackerl stopft und vor die Tür stellt.
  Alles schon vorgekommen, wohlgemerkt!
• Ein "Techniker" von Microsoft (oder A1, T-Mobile, Magenta, Drei, O2, ...) ruft an und berichtet von Problemen auf dem Computer des Angerufenen. Um sie zu beheben, würde er nun bitte folgende Zugangsdaten benötigen...
• Jemand "von der Bank" ruft an und berichtet von Problemen mit dem Konto des Angerufenen. Um sie zu beheben, würde er nun bitte folgende Zugangsdaten für das E-Banking benötigen...

Und vieles mehr! Der Fantasie der Betrüger scheinen keine Grenzen gesetzt zu sein.

Bei den letzten beiden Punkten kann man schon von Phishing sprechen. Immerhin sollen ja dem Opfer Zugangsdaten entlockt werden.

SMS, WhatsApp, Signal und andere Messenger

Bei einer SMS und bei den Messengern kann der Text nur relativ kurz sein. Hier wird sich dann meistens ein Link darin verstecken, der einen auf eine präparierte Webseite führt, wo dann der eigentliche Angriff stattfindet: Das Opfer liefert in den diversen Eingabefeldern die gewünschten Daten brav an die Betrüger ab. Gleiches Prinzip wie bei der Phishing-Email, bloß mit kürzerem Text.

Das besonders Gefährliche hier: SMS, WhatsApp etc. wird man meist auf dem Smartphone bedienen; auf dem sind die Prüfmöglichkeiten aber nicht so gut wie auf einem PC oder Notebook; daher ist auch das Phishing nicht so leicht zu erkennen. Zu den Schwierigkeiten, das Ziel eines Links zu erkennen, hab ich oben schon ausführlich geschrieben.

* * * * * * *

Diese Betrügereien werden uns noch lange Zeit beschäftigen. Das Einzige, was dagegen hilft ist Aufklärung. Dieser Post soll einen kleinen Beitrag dazu leisten. Ich halte Phishing für eine wirkliche Gefahr; die täglichen Nachrichten, dass wieder einmal "jemand Tausende Euro an Internetbetrüger bezahlt" hat, bestärkt mich in meiner Meinung.

• https://www.heise.de/news/Sparkassen-warnen-vor-Phishing-SMS-zur-pushTAN-7388926.html
• Falscher Polizist stahl Gold vor Wohnungstür
• Frau überwies “FBI-Agent” 4.000 Euro

In diesem Sinne kann ich uns nur zurufen: Seien wir wachsam!