Aktuell sind wieder vermehrt Phishing-Mails im Umlauf. Eigentlich, sollte man meinen, ist das Thema hinreichend besprochen. Die aktuelle Phishing-Flut lässt jedoch vermuten, dass es weiterhin lukrativ ist, sich auf diesem Weg auf Kosten anderer zu bereichern.
Ziel des Phishings ist es, an Daten der Opfer zu gelangen, über die dann auf Konten (Geld- oder Bestellkonten) zugegriffen, mit den Identitätsdiebstahl begangen oder eine Schadsoftware installiert werden kann.
Je nachdem wie viel Zeit die Phisher in ihre Mail gesteckt haben, umso leichter oder schwieriger ist es, die Mail als Phishing-Mail zu erkennen.
Wie es der Zufall will, habe ich auch eine Mail bekommen. Diese soll genutzt werden, um die Anzeichen für Phishing zu veranschaulichen.
1. Anrede
Wenn ich ein so treuer Kunde bin, dass mir ein Iphone X geschenkt werden soll, ist es merkwürdig, warum ich nicht persönlich mit meinem Namen angesprochen werde. Das spricht dafür, dass der Absender außer der E-Mail-Adresse keine weiteren Informationen hat. In diesem Fall sollten Sie misstrauisch werden.
2. Absender
Als Absender wird WEB.DE Neujahr im Header genannt. Ein einfacher Klick auf die Absenderadresse lässt folgendes, vorher verstecktes sichtbar werden:
Bei der Absender-Adresse handelt es sich definitiv nicht um eine offizielle Adresse von WEB.DE.
3. Link anklicken
Um mein Geschenk zu erhalten, soll ich einen Link anklicken. Dieser wird natürlich auch nicht klar dargestellt. Ein Klick mit der rechten Maustaste auf diesen lässt jeden Zweifel schwinden:
Auch das ist keine Verlinkung auf die Seite von WEB.DE.
Im Übrigen ist der gesamte E-Mail-Inhalt als Bild (mit Verlinkung) erstellt. Das bedeutet, dass ein Klick auf den E-Mail-Inhalt, egal wo, die Weiterleitung an die obenstehende URL, also die Webseiten-Adresse zur Folge hat.
4. Textinhalte
Auch der Text liefert verschiedene Anhaltspunkte, um skeptisch zu werden:
- Im Betreff wird angegeben: „Entdecke dein Geschenk am Ende des Jahres!“; die Mail ist vom 4.2.2021
- 40,259 Treuepunkte gesammelt, Kontobelastung mit 35.154 Punkten. Das bedeutet ein Kontominus von 35.113,741 Punkten
- Handy erst als Geschenk, dann als Gewinn, dann als Angebot bezeichnet.
- „Ohne ihre Zustimmung wird kein Abonnement abonniert“ bedeutet „mit Zustimmung wird ein Abonnement abonniert“.
- Prämie anfordern vor Ablauf des Angebots; es wird kein Ablaufdatum genannt
- Grußformel mit Vornamen spricht auch nicht für Seriosität.
5. Rechnung als Word-Rechnung
Eine Abwandlung von der bisher beschriebenen Link-Variante ist die Versendung einer Rechnung. Diese hängt der Mail als Anhang, in der Regel als WORD-Datei!!!! Im *.doc-Format an. Warum? In dem *.doc-Format kann man sehr gut Makroviren (Emotet ist sicher der Bekannteste) verstecken. Diese werden automatisch aktiv (gegebenenfalls wird man vorher noch aufgefordert, die Makros in WORD zu aktivieren) und richten in Sekundenschnelle massiven Schaden an.
Bereits der Umstand, dass eine Rechnung als WORD-Datei verschickt wird, sollte alle Alarmglocken zum Läuten bringen. Spätestens wenn die WORD-Rechnung im *.doc-Format gespeichert ist, sollte es nur einen Weg geben: Papierkorb.
Häufig bieten Phishing-Mails eine Vielzahl von Anhaltspunkten, die Zweifel an der Seriosität schüren. Leider bleibt nicht immer die Zeit, sich detailliert mit jeder Mail auseinanderzusetzen. In Anbetracht des Schadens, der angerichtet werden kann, sollten vor einem unbedarften Klick zumindest die vorgenannten Punkte kurz zu gecheckt werden.
Update 24.2.2021: Der Betrag wurde entsprechend der Hinweise in den Kommentaren korrigiert.
25. Februar 2021 @ 18:42
Mir würde diese Mail bereits deswegen als Phishingmail auffallen, weil in der Anrede „kunde“ statt „Kunde“ steht, also ein Schreibfehler enthalten ist. Außerdem geht es nach der Anrede und einem Komma mit einem Großbuchstaben weiter. So etwas ist m. E. immer ein Zeichen für „unsaubere“ Mails. Aber leider sind heute nur noch wenige Menschen in der Lage, Schreibfehler zu erkennen …
24. Februar 2021 @ 8:26
Vielen Dank für den Hinweis. Ich habe den Beitrag entsprechend korrigiert. Aus Ihren Kommentaren habe ich zweierlei gelernt:
1. Ich bin ungeeignet zum Erstellen von Phishing-Mails.
2. Sie tappen nicht so schnell in die Phishing-Falle.
Herzliche Grüße
Sebastian Ertel
24. Februar 2021 @ 0:30
Stimmt, der Findefuchs hat recht. So wie im Beispielbild das absichtliche Verschleiern der wahren Zahlengröße durch Ähnlichkeit von Tausendertrennzeichen „.“ und Nachkommatrennzeichen „,“ leicht gelingt, ist es dem Autoren im Erklärtext bei der Erläuterung typischer Auffälligkeiten durch einen unbeabsichtigten Tippfehler ähnlich ergangen. Die Kontobelastung ist dort zwar nicht ganz korrekt dargestellt, das Rechnungsergebnis beschreibt den Aspekt zumindest richtig. Der kleine Lapsus zeigt aber anschaulich, wie leicht man solch wichtigen Details übersehen kann. Ähnlich werden entscheidende Abwandelungen in URL-Bezeichungen bzw. Email-Accounts beispielsweise durch Ersetzen von einem „m“ durch die Kombination „rn“ in Links oder Absendekennungen übersehen. Kann sicherlich im Arbeitsalltag leicht passieren, darum generell immer ausreichend mistrauisch sein, insbesondere wenn Zeitdruck aufgebaut wird bzw. jemand einem angeblich ohne angemessene Gegenleistung was schenken möchte, denn das Prinzip Trojanisches Pferd funktioniert nicht erst seit dem Stecker- und Wischzeitalter.
22. Februar 2021 @ 11:38
Bei Ihrer Erklärung der Berechnung unter Abschnitt 4 Unterpunkt 2 ist statt Punkt ein Komma angegeben. Aber gerade der unscheinbare Punkt in dem Text der Phishingmail verschleiert die wahre Dimension des Abzuges, wenn man auch diesen Aspekt wie Sie genau betrachtet. Bis auf den kleine Tippfehler eine nette Zusammenstellung aus dem leidlichen Phishingalltag.