Was haben wir nicht schon alles gehabt? Banken und Sparkassen, bei denen man zwar kein Konto hat, dieses aber durch Klicken auf einen Link wieder freischalten sollte. Gewinnspiele von namenhaften Webmailern, bei den man zwar keinen E-Mail-Account, dafür aber vielleicht bald ein neues IPhone besaß (vgl. unseren Beitrag hier).
Das war 2021. Eigentlich leicht als Phishing zu erkennen, zumindest, wenn es die falsche Bank oder der falsche Webmailer war.
Zur Erinnerung: Beim Phishing geht es darum, an Daten der Opfer zu gelangen. Mit den Daten kann dann auf Konten (Geld- oder Bestellkonten) zugegriffen, Identitätsdiebstahl begangen oder eine Schadsoftware installiert werden.
Was ist die neueste Masche?
Die neue Masche sind digitale Unterschriften. Seit es Anbieter wie DocuSign oder AdobeSign gibt, können Verträge papierlos unterschrieben und abgeschlossen werden. Dazu erhalten die Unterzeichner eine Mail, über die sie mittels Links das Dokument aufrufen und „unterschreiben“ können.
Wie es der Zufall will, habe ich genauso eine Mail bekommen:
Fälschung 1
Original 1
Schon im ersten Teil der Phishing-Mail springen drei Punkte ins Auge:
- Die Absenderadresse stammt nicht von DocuSign.net, sondern von bottelsche.de. Zudem wird in der E-Mail-Adresse DocuSign falsch geschrieben (docsign).
- Der Absender wird im E-Mail-Text absichtlich versteckt, indem blaue Schrift auf blauem Grund gewählt wird.
- Im Weiteren gibt es keine persönliche, namentliche Anrede und es wird Druck aufgebaut, da das Dokument nur noch für 2 Tage verfügbar ist.
Fährt man zudem mit dem Mauszeiger über die Klick-Fläche, wird angezeigt, wohin man bei einem Klick weitergeleitet wird. Spätestens dann sollte klar sein, was echt und was gefälscht ist.
Aber auch der zweite, untere Teil der Mail, bietet Anhaltspunkt, um an der Echtheit zu zweifeln.
Fälschung 2
Original 2
- Die Phishing-Mail bietet keine alternative Signiermethode.
- Auf die Abbestellmöglichkeiten und die App wird nicht verlinkt.
Wahrscheinlich sind noch andere Indizien erkennbar. Aber mit den aufgeführten sollte es bereits möglich sein, hinreichendes Misstrauen aufzubauen.
Fazit
Seien Sie weiterhin misstrauisch. Sollten Sie nicht mit der digitalen Unterzeichnung eines Dokumentes rechnen, weil keine entsprechenden Ankündigungen erfolgten oder Vertragsverhandlungen stattfanden, ist die Mail genau zu prüfen. Im Zweifelsfall die Kolleg*innen der IT-Sicherheit befragen oder die Mail ignorieren. Man wird sich schon bei Ihnen melden, wenn Ihre Unterschrift tatsächlich gebraucht wird.