Phishing erkennen

Phishing wird ein immer größeres Problem: Unaufgefordert zugesandte Emails, die den Empfänger zu irgendeiner Reaktion provozieren sollen. Bekannte Beispiele sind „Sicherheitsmassnahmen“ (z.B. angeblich von PayPal), Mahnungen und so weiter. Die erste Regel lautet: Keine Links klicken, keine Attachments öffnen. Und dann genauer hinschauen. Meistens ist die Sache einfach und zuverlässig zu durchschauen. Nämlich so:


Vorweg sei gesagt: Es gibt keinen Weg, die Echtheit einer Email zu beweisen. Man kann nur Indizien in die eine oder andere Richtung sammeln.

Manche Fakes sind erstaunlich gut gemacht und an das Aussehen der echten Mails der entsprechenden Firmen angelehnt, auch wenn das in letzter Zeit abgenommen hat. Das Aussehen alleine ist also kein wirklich guter Anhaltspunkt. Gute Anhaltspunkte bieten Impressum / Pflichtangaben, Links und Anhänge:

„Impressum“ bzw. Pflichtangaben

Der mächtigste und zugleich aufwändigste Trick zuerst: Das Impressum. Auch wenn ich oft darüber fluche – jede deutsche Firma muss auf ihren Geschäftsbriefen Pflichtangaben machen. Diese Pflichtangaben gelten auch für Email, und sie tauchen im Impressum der Webseite wieder auf.

Heute kam beispielsweise eine Email herein, angeblich von PayPal, mit den folgenden Angaben in der Email:

Copyright © 1999-2013 PayPal. All rights reserved
PayPal Deutschland & Osterreich Pty Limited
ANB 01 357 159 951 (AFSL 159753)

Ein kurzer Blick auf das Impressum der Webseite paypal.de zeigt:

Betreiberin der Website www.paypal.de:

PayPal (Europe) S.à r.l. et Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxembourg

Damit ist das Thema durch, es ist ein Fake. Kennzeichen sind:

  • Unterschiedliche Gesellschaftsformen: PayPal „echt“ ist eine S.à r.l. et Cie, S.C.A. (was auch immer das genau ist :-)), PayPal „Fake“ behauptet, eine Pty Limited zu sein
  • Unterschiedlicher Sitz: PayPal Europe sitzt in Luxemburg, der Fake gibt keine ladungsfähige Adresse an
  • Unterschiedlicher Wirkungsbereich: PayPal Europe ist, naja, für Europa zuständig, der Fake behauptet nur für Deutschland und Österreich zuständig zu sein
  • Tippfehler an zentraler Stelle: „O“sterreich statt Österreich.
  • Im Weiteren passen auch die Register / Handelsregisternummern nicht

Absender

Mein aktuelles „Prachtstück“ zeigt im Outlook als Absender an: „PayPal <test@test.com>“. Das echte PayPal sendet keine Emails von test.com sondern von paypal.com (oder vielleicht von paypal.de). Ende der Ansage…

Gesunder Menschenverstand

Gesunder Menschenverstand ist eine nicht zu unterschätzende Waffe im Kampf gegen Phishing. Wer keine Kreditkarte hat, bekommt keine authentische Mahnung einer Kreditkartenfirma. Wer bei einem Versandhaus nichts bestellt hat, bekommt auch von dort keine Mails und so weiter, und so weiter.

Leider gibt es immer wieder „Zufallstreffer“. Wenn beispielsweise 500.000 Phishing-Mails an deutsche Email-Adressen geschickt werden (das kostet ja praktisch nichts…), die eine Mahnung einer der beiden großen Kreditkartenfirmen behaupten, dann landen wahrscheinlich einige 100.000 bei Menschen, die wirklich eine dieser Kreditkarten haben.

Auch Datenklau wird ein wachsendes Problem: Auf irgendwelchen Wegen können Phisher erfahren, wer Kunde bei welchem Online-Versandhaus ist. Das geht bspw., wenn man sich von einem öffentlichen Hot Spot aus, einem Internet Café oder einem Hotel aus, dort angemeldet hat, oder indem die Kundendatei des Versandhauses gestohlen wurde. Dann trifft jede Phishing-Email, und man muss etwas genauer hinsehen, ob es sich um eine Phishing-Email oder eine legitime Email handelt.

Persönliche Informationen

Firmen versuchen, sich und uns gegen solche Phishing-Kampagnen zu schützen, indem sie mehr Information als nur die EMail-Adresse in der Email verwenden, zum Beispiel nicht nur die Email-Adresse sondern auch den Namen, einen Anmelde- oder Nutzernamen oder eine Kundennummer. Auch das kann u.U. gefälscht werden, falls die Kundendatenbank geklaut wurde, aber es ist ein weiteres gutes Zeichen. Mein aktuelles Phishing-Exemplar beispielsweise spricht mich an mit „Sehr geehrtes XYZ-Mitglied, …“ – das ist schon einmal verdächtig.

Links

Eine der möglichen Motivationen zum Versenden einer Phishing-Email ist, den Empfänger auf einen Webserver zu locken, der vom tatsächlichen Absender kontrolliert wird. Dort liegt dann vielleicht Schadsoftware, oder ein schönes Formular, das zum Identitäts- oder Passwortdiebstahl verwendet wird.

Ein genauer Blick auf die Links lohnt sich also. Doch wie geht das? Nur weil in einer Email der Text „http://www.KorrekteFirma.de“ ausgeschrieben steht, heisst noch lange nicht, dass ein Klick wirklich auf „KorrekteFirma.de“ führt. Ein einfacher Trick ist das sogenannte „Hover“, als „Schweben“. Dazu wird der Mauszeiger ohne zu klicken über dem Link positioniert. Dann kann man in einer Pop-up-Box den tatsächlichen Link lesen. Falls dieser Link auf die Webseite der „richtigen“ Firma führt, ist das ein gutes Zeichen. Alles andere ist erst einmal mit Vorsicht zu genießen.

Beispiel für ein "Hover" über einem Phishing-Link
Beispiel für ein „Hover“ über einem Phishing-Link in Outlook

Ein Beispiel dafür ist rechts angegeben. In dem Beispiel lautet die normal sichtbare Beschriftung des Links “http://mail.google.com/verify”. Der tatsächliche Link wird sichtbar, wenn man den Mauszeiger ohne zu klicken über diesem Text “schweben” lässt. Der tatsächliche Link zeigt auf den Server “shockspot.net” (der Teil zwischen dem “http://” und dem ersten einzelnen “/” bezeichnet den Server). Shockspot.net hat keine offensichtliche Beziehung zu Google, es ist also ein Phishing-Link.

Leider werden immer mehr Links „umgeleitet“ über Link-Verkürzer wie bit.ly, ow.ly, t.co oder goo.gl. Der Sinn der Sache ist, dass auch ein legitimer Absender auf diese Weise herausbekommen kann, wie oft der Link tatsächlich geklickt wurde. Ob man sich auf so einen Linkverkürzer tatsächlich einlassen sollte oder nicht kann man nur aus dem Kontext erkennen. Im Zweifelsfall ist Vorsicht angesagt.

Attachments

Attachments sind ein anderer Weg für den Absender einer Phishing-Mail, um Geld zu verdienen: Ein Attachment könnte beispielsweise einen Computervirus installieren, der dann in irgendeiner Weise in Geld umgemünzt werden kann. Gleichzeitig bietet sich hier ein offensichtlicher Prüfpunkt: Die Attachments mit höchster Sicherheitsstufe von einem aktuellen Virenscanner prüfen lassen. Allerdings sind die Scanner immer etwas hinterher, wer es sich leisten kann, die Prüfung ein paar Tage oder sogar Wochen zu verschieben, der sollte das tun. Je nach sonstigen Geschäftspartnern sind praktisch alle Anhang-Typen verdächtig: EXE und MSI sowieso (das sind ausführbare Programme), ZIP-Dateien und andere Archive (denn ein oberflächlicher Virenscan öffnet Archive nicht, Schadsoftware bleibt darum u.U. länger unentdeckt), aber auch HTML oder PDF (wegen notorisch vieler Sicherheitslücken in den zugehörigen Programmen).

Die Regel ist: Solange an der Authentizität einer Mail noch Zweifel besteht, keine Attachments öffnen!

Wenn alles andere nichts hilft

… hilft anrufen, bspw. beim Kundendienst des angeblichen Absenders.

Wie denkst Du darüber?