Phishing-Mails immer raffinierter

[Tobi]

Aktuelle Warnmeldung: äußerst echt wirkende PayPal-Mail.

Es vergeht ja inzwischen kaum ein Tag mehr, an dem ich nicht irgendwelche verdächtigen Mails ungelesen löschen muß. Gestern jedoch fand ich eine in meinem Postfach, in die ich tatsächlich einen Blick werfen mußte, um herauszufinden, um was es geht. Und nichtmal Das verschaffte mir auf Anhieb Klarheit.

Die augenscheinliche Absendeadresse war die mir bekannte, von der ich schon Dutzende Mails bekam. Im Betreff stand lediglich "Benachrichtigung". In der Mail befindet sich ein "Verifizierungs"-Link, über den man die "aufgetretenden Unregelmäßigkeiten" (massive, erfolglose Einlogversuche diverser Art) ausräumen soll (bis zum 29.09.; sonst würde das Konto aus Sicherheitsgründen gesperrt). Die Mail wirkt auf den ersten Blick absolut echt, dennoch schrillten bei mir die Alarmglocken und ich erkundigte mich zuerst über die offizielle Website per Anfrage dannach.

Die von offizieller Seite aufgezählten Echtheitskriterien trafen alle auch auf die Phishing-Mail zu, bis auf eine Ausnahme: in der Anrede stand nicht mein Name, sondern "Sehr geehrter PayPal Nutzer".
Beängstigend eigentlich, daß es "nur noch" dieses Erkennungsmerkmal gibt.

[Alpha Zen]

"aufgetretenden Unregelmäßigkeiten"

Stand das so in der Mail oder ist das dein Vertipper? An sowas erkennt man dubiose Mails oft noch am besten. Oder daran, dass man bei dem Dienst, der einen irgendwas verifizieren lassen will, gar nicht angemeldet ist.

[Tobi]

Naja, normal erkenne ich auch solche Mails schon, ohne sie überhaupt lesen zu müssen. Absender und/oder Betreff. Dieser aktuelle Fall war erst der zweite, bei dem ich zweimal überlegen mußte. Und der erste überhaupt, der mich veranlasste, irgendwo nachzufragen. Keine Ahnung, wirkte halt auffallend authentisch auf mich.

[Crystal]

Ich würde bei solchen Wortlauten, die was von Überprüfung labern, grundsätzlich die Webseite des Anbieters über die bekannte Adresse direkt besuchen, ohne auf Links in der Mail zu klicken (deren Zieladressen im Mouse-Over meist woanders hinverlinken, als im Text angegeben). Entweder manuell in die Adresszeile des Browsers eingeben oder Lesezeichen benutzen, wenn man welche angelegt hat.
Gebrochenes Deutsch, Rechtschreibfehler und fehlende persönliche Anrede outen sich grundsätzlich selbst und wandern in den Müll. Banken versenden Briefpost in markant einwandfreiem Amtsdeutsch, Amazon und Paypal redet einen immer mit vollem Namen an. Es schadet auch nicht, im Falle eine Online-Direktbank mal kurz anzurufen und sich die Mail bestätigen zu lassen.

Und wenn etwas tatsächlich gestimmt hat, man aber gelöscht hat, dann kriegt man schlimmstenfalls eine Mahnung und die kommt per Briefpost.

[Zurgrimm]

In der Mail befindet sich ein "Verifizierungs"-Link, über den man die "aufgetretenden Unregelmäßigkeiten" (massive, erfolglose Einlogversuche diverser Art) ausräumen soll (bis zum 29.09.; sonst würde das Konto aus Sicherheitsgründen gesperrt).

Aber wenn Du schaust, wohin Dich dieser Link wirklich führt, dann hättest Du doch daran erkennen können müssen, daß es keine echte Paypal-Mail ist. Denn der Link wird doch sicherlich zu irgendeiner anderen Seite geführt haben.

Wenn ich - was mir auch einmal passiert ist (wurde darin sogar mit echtem Namen angesprochen) - eine täuschend echte Paypal-Mail bekomme, dann logge ich mich in meinem Paypal-Konto (das ich ganz normal aufrufe und nicht aus der Mail heraus) ein und schaue, ob die mir da auch etwas schreiben. Wenn das nicht der Fall ist, wird mein Konto auch nicht in der Gefahr einer Sperrung sein.

[Rabenaas]

Es gibt diverse Methoden, die Namen von angesurften Seiten zu fälschen. Deswegen ja auch die Verifizierung per Zertifikat.

[Recke]

Meist sieht man auch an der E-Mailadresse obs ne Fishingmail ist.

Einfach im Outlook nen Doppelklick auf den Namen und schauen ob es eine noreply@telekom.de ist oder doch eher eine asajkfnu@nsafsa.com

[Rabenaas]

Das Absenderfeld lässt sich auch manipulieren. Wenn das Ziel der Angreifer ist, dass man einem bestimmten Link folgt, dann kann es sich u.U. durchaus um eine unverdächtige Absenderadresse handeln.

[Alpha Zen]

Im Studium wurde uns mal gezeigt, wie erschreckend einfach es ist, eine E-Mail zu fälschen - samt Absender etc. Dafür hat der Dozent nur ein Kommandozeilen-Programm verwendet (weiß nicht mehr, welches). Wenn die Kriminellen es wirklich drauf anlegen, hat man es gar nicht so einfach, eine echte von einer unseriösen Mail zu unterscheiden. Zum Glück zielen die meistens eher auf die Masse und hoffen, dass jemand nicht aufmerksam genug ist, trotz offensichtlicher Fehler in der Mail.

[Hendrik]

Mein Lieblings-Vergleich für Laien ist immer "E-Mails sind wie Postkarten":
An jeder Zwischenstation auf dem Beförderungsweg können sie gelesen oder gar manipuliert werden,
Ich kann eine beliebige Absender-Adresse darauf schreiben, das kann man allerdings unter Umständen am Poststempel (bei Emails die Liste der Hops, über die die Email gegangen ist) erkennen - aber wer schaut sich den schon so genau an, wenn man jeden Tag ein Dutzend Emails bzw. Postkarten bekommt?
Alle 2,3 Monate bekomme ich auch mal eine Mail, bei der ich genauer hinsehen muss.

[Hindro]

In der Mail befindet sich ein "Verifizierungs"-Link, über den man die "aufgetretenden Unregelmäßigkeiten" (massive, erfolglose Einlogversuche diverser Art) ausräumen soll (bis zum 29.09.; sonst würde das Konto aus Sicherheitsgründen gesperrt).

Aber wenn Du schaust, wohin Dich dieser Link wirklich führt, dann hättest Du doch daran erkennen können müssen, daß es keine echte Paypal-Mail ist. Denn der Link wird doch sicherlich zu irgendeiner anderen Seite geführt haben.

Wenn ich - was mir auch einmal passiert ist (wurde darin sogar mit echtem Namen angesprochen) - eine täuschend echte Paypal-Mail bekomme, dann logge ich mich in meinem Paypal-Konto (das ich ganz normal aufrufe und nicht aus der Mail heraus) ein und schaue, ob die mir da auch etwas schreiben. Wenn das nicht der Fall ist, wird mein Konto auch nicht in der Gefahr einer Sperrung sein.

Es gibt sogenannte "Drive-By" Infektionen, bei denen es reicht eine Webseite einfach zu besuchen um sich Viren oder Trojaner einzufangen. Man sollte daher nie auf einen Link in einer nicht garantiert zuverlässigen Mail anklicken.

[Tobi]

Man sollte daher nie auf einen Link in einer nicht garantiert zuverlässigen Mail anklicken.

Das ist sicherlich der wichtigste Rat, den es in diesem Zusammenhang gibt, ja.
Wobei Zurgrimm den auch von Crystal erwähnten Mouseover bei so einem Link meinte, bei dem das Ziel vorab angezeigt wird.

Aber wenn Du schaust, wohin Dich dieser Link wirklich führt, dann hättest Du doch daran erkennen können müssen, daß es keine echte Paypal-Mail ist. Denn der Link wird doch sicherlich zu irgendeiner anderen Seite geführt haben.

Soweit, da nachzuschauen, bin ich gar nicht gekommen, weil ich vorher

dann logge ich mich in meinem Paypal-Konto (das ich ganz normal aufrufe und nicht aus der Mail heraus) ein und schaue, ob die mir da auch etwas schreiben.

genau das gemacht habe. Nur: als ich mein Konto durchforstet habe und nichts fand, hatte ich immer noch Zweifel, aus zwei Gründen. 1. könnte es eine zeitliche Überschneidung der Mitteilungen geben und der Hinweis in meinem Konto einfach noch nicht "eingetroffen" sein; und 2. wäre es möglich, daß ich den Wald vor lauter Bäumen nicht sehe. Wäre nicht das erste Mal, daß ich eine Seite Zeichen für Zeichen durchforste, aber den alles entscheidenden Hinweis, Link, was auch immer - schlichtweg übersehe. Also hab ich nachgefragt. Nur um sicher zu gehen.


Was mich aber auch noch interessieren würde...

Vor Jahren hab ich mal aufgeschnappt, daß man sich sogar etwas einfangen kann, schon wenn man nur die - wie nennt man die - Kopfzeile? anklickt, um eine Mail überhaupt erst zu öffnen und zu lesen. Also im Mail-Postfach die Zeile, in der die Absendeadresse und der Betreff stehen. Ist das möglich? Oder war das lediglich mal möglich, bei bestimmten (alten) Betriebssystem- oder Browserversionen von irgendwann mal?

[Alpha Zen]

Hm, bei Mails mit HTML-Formatierung könnte ich mir das durchaus vorstellen (manipulierte eingebettete Bilder etc.), bei Text-Mails eher nicht. Die meisten Mail-Provider sollten da eine Option bieten, ob man sich in Mails eingebettete Bilder standardmäßig anzeigen lassen will oder nicht. Bei Bedarf kann man sie dann nachladen.

Ob man vorher erkennen kann, wie eine Mail formatiert ist, weiß ich allerdings nicht. Wüsste nicht, wie.

[Rabenaas]

Irgendein Mailprogramm hat mal eine Vorschau der Links in einer Mail angezeigt, dafür die vergiftete Seite besucht und schwupp, war man Teil der Zombiearmee.

[Hendrik]

Vor Jahren hab ich mal aufgeschnappt, daß man sich sogar etwas einfangen kann, schon wenn man nur die - wie nennt man die - Kopfzeile? anklickt, um eine Mail überhaupt erst zu öffnen und zu lesen. Also im Mail-Postfach die Zeile, in der die Absendeadresse und der Betreff stehen. Ist das möglich? Oder war das lediglich mal möglich, bei bestimmten (alten) Betriebssystem- oder Browserversionen von irgendwann mal?

Durchaus möglich, auf diese Art eine Buffer-Overflow-Attacke auf den Mail Client zu versuchen. Ist aber eher unwahrscheinlich, die gängigen Mailprogramme dürften mittlerweile gegen so etwas einigermaßen geschützt sein.

Oder die Variante, die der Rabe vorgeschlagen hat: Übereifriges Mailprogramm besucht selbstständig Links.

Mal davon abgesehen sollte man nicht einmal in einer sicheren Umgebung (Sandbox o.ä.) den Link anklicken. Häufig ist in den Links die eigene Mailadresse codiert, so dass man, auch wenn man sonst keinen Schaden nimmt, zumindest dem Absender der Mail bestätigt, dass man auf solche Links klickt - und somit noch mehr Spam- und Fishing-Mails zu sich einlädt.

[Zurgrimm]

Wobei Zurgrimm den auch von Crystal erwähnten Mouseover bei so einem Link meinte, bei dem das Ziel vorab angezeigt wird.

Genau, entweder den Mouseover oder aber eine Funktion im Mailprogramm (Thunderbird, den ich benutze, bietet das jedenfalls an), durch die man sich E-Mails im reinen Textformat anzeigen lassen kann. Da müssen die echten Links m.E. immer ersichtlich sein, weil das Textformat keine Unterlegungen von Text mit anderen Links zulässt.

[Aydan]

Jedes von Menschen geschriebene Programm, egal ob Mail oder Plugins, kann von Menschen manipuliert werden. Selbst Viren Scanner und ähnliche, durchaus professionelle Programme, enthalten Schwachstellen, wie der Fall Kaspersky gerade zeigt. Wenn man wirklich etwas Doofes tut, hat man trotz guter Programme kaum eine Chance. Die wichtigste Maßnahme ist immer Vorsicht walten lassen.

Das, was da bei Paypal passiert sein könnte ist dies hier:
http://www.heise.de/newsticker/meldung/A...26159.html
Wie man sieht, muss der Nutzer selbst garnichts mehr falsch machen

[Alpha Zen]

Normalerweise amüsieren mich Spam- und Phishing-Mails ja eher, entweder wegen der offensichtlichen Fehler darin, oder wegen den Diensten, die diese Mail angeblich verschicken - weil ich diese Dienste gar nicht nutze (PayPal z.B.).

Aber heut früh war ich dann doch erschrocken von so einer Mail. Nicht, weil ich geglaubt hätte, was da drin stand, sondern, weil da eine korrekte Adresse und meine richtige Telefonnummer drin stand.
Die besagte Adresse nutze ich schon seit ca. 8 Jahren nicht mehr als Versand- oder Anmeldeadresse. Sie war (und ist, aber vlt. sollte ich das jetzt ändern, wobei die Adresse ja weiterhin existiert) meine Anmeldeadresse bei ebay. Die Mail kam dann auch vorgeblich von "inkasso@ebay.de".
Also, entweder hat(te) ebay irgendein Datenleck, wurde gehackt - oder jemand dort treibt Schindluder mit Nutzerdaten.

[Alrik Alrikson]

Das würde ich mal an eine der Verbraucherzentralen melden, denn ganz offensichtlich liegt ja eine der beiden von Dir genannten Ursachen vor.

[aeyol]

Ebay wurde 2014 gehackt: http://www.spiegel.de/netzwelt/web/ebay-...70903.html

Unbekannte Angreifer haben E-Mail-Adressen, Telefonnummern und Geburtstagsdaten von Ebay-Kunden erbeutet. Wer ein Konto bei dem Dienst hat, soll umgehend sein Passwort ändern.