Boris Stumpf

Motorrad vor Taunus-Hügellandschaft

Phishing und anderer Betrug

  • eingefügt
in
, , , , ,

Wieder einmal häufen sich die Alarmmeldungen:

Digitaler Zahlungsverkehr: Betrugsversuche fordern Verbraucher heraus

Gefälschte Bank-E-Mails bleiben oft unerkannt

Es ist das bekannte Dilemma, dass Menschen auf Phishing-Versuche per E-Mail oder auch auf telefonische Betrugsversuche hereinfallen, die trickreich Login-Kombinationen von Banken oder Zahlungsdienstleistern einfordern. Tatsächlich gibt es Schutzmöglichkeiten.

E-Mail

Das Problem auf der E-Mailseite liegt oft in dem Umstand begründet, dass Menschen nur eine E-Mailadresse haben, die sie für alles einsetzen UND/oder, dass sie nicht schauen (können), woher genau eine E-Mail kommt und an welche Adresse genau sie gerichtet ist.

Ersteres ließe sich für jeden Menschen vergleichsweise einfach ändern, dazu gleich mehr.

Letzteres Defizit ist allerdings nicht trivial und demzufolge nicht ganz einfach auflösbar. Das liegt daran, dass es relativ leicht ist, sowohl den wirklichen Absender als auch den Adressaten auf der Oberfläche des E-Mailprogramms zu verschleiern. Dazu ist es erforderlich, detektivisch vorzugehen und die Kopfdaten (Header) der betreffenden Mail ‚auseinanderzunehmen‘. Und das ist, wie gesagt, nicht ganz trivial und erfordert Kenntnis davon, wie E-Mails servermäßig gesendet, transportiert und empfangen werden. Aber wir stehen nicht ganz hilflos da – deswegen zurück zu Punkt Eins, unserer eigenen bzw. unseren eigenen E-Mailadressen.

Grundsätzlich ist es heute möglich, so viele E-Mailadressen zu nutzen, wie wir wollen, bzw. wie wir benötigen, um meine im Folgenden erläuterte Strategie zu verfolgen – die für mich wirklich sehr erfolgreich ist und dazu recht einfach umzusetzen. Das Prinzip dieser Strategie ist:

Jedem Absender respektive Thema eine eigene Adresse!

Das klingt womöglich erschreckend, ist aber gar nicht so aufwändig.

Schauen wir, wie Conny Fidibusski das macht.

Conny hat Internetzugang über den Provider toffline.net und verwendete für sich bisher nur die Adresse conny.cofidibu@toffline.net. (Ja, es hätte auch conny1327@toffline.net sein können)

Adressen über den Provider

Das soll sich nun gemäß meiner Strategie ändern. In Zukunft wird Conny diese bisherige Adresse gar nicht mehr verwenden, sondern »Aliase«, die darauf abgebildet werden. Solche Alias-Adressen sind unter dem Nutzerkonto bei toffline.net (und den meisten echten Internetprovidern) recht einfach einzurichten.

Für alle Onlineshops, bei denen Conny einkauft, richtet sie (oder er?) shopping.cofidibu@toffline.net ein. Speziell für den sehr häufig frequentierten Globetrotter-Shop heißt es ab sofort globe.cofidibu@toffline.net. Für alle Belange und Kontakte rund um Connys Arbeit gibt es in Zukunft job.cofidibu@toffline.net. Alle Freunde und Verwandte nutzen nun privat.cofidibu@toffline.net. Reise- und Hotelbuchungen finden zukünftig über reise.cofidibu@toffline.net statt.

Mit der Bank, die das Gehaltskonto führt, kommuniziert Conny ausschließlich über geld.cofidibu@toffline.net, die depotführende Bank kennt nur die depot.cofidibu@toffline.net.

Je wichtiger ein Kontakt ist, desto spezifischer ist die verwendete E-Mailadresse. Das wägt Conny Fall für Fall ab.

Adressen einer eigenen Domain

Sollte Conny allerdings wie ich über eine eigene Domain verfügen und z.B. wie ich bloggen, dann könnte diese Domain cofidibu.de heißen, was die Sache mit den Aliasen vereinfachte, also etwa:

  • shopping@cofidibu.de
  • globetrott@cofidibu.de
  • reisen@cofidibu.de
  • job@cofidibu.de
  • privat@cofidibu.de
  • sparkasse@cofidibu.de
  • depot@cofudibu.de
  • finanzamt@cofidibu.de

Wichtig ist, dass Conny selbst all diese Adressen ausschließlich für die jeweiligen Zwecke verwendet.

Denn:

Gelangt nun z.B. die Adresse reisen@cofidibu.de (oder vgl. oben reise.cofidibu@toffline.net) in die Adressenliste eines Spammers und/oder eines Phishing-Betrügers und plötzlich schneit eine dringende Mail von Connys »Bank« herein, in der sie aufgefordert wird, sich wegen auffälliger Kontoaktivitäten sofort zur Überprüfung einzuloggen, dann weiß Conny Bescheid. Nach kurzem Blick in die Adressatenzeile weiß Conny nämlich, dass eine echte Mail von ihrer Bank unmöglich an die Adresse reisen@cofidibu.de gesendet worden sein kann. Also diesen Betrugsversuch einfach löschen.

Da hat dann wohl einer von Connys Reisebuchungs-Kontakten eine Datenbank mit Loch oder einen lukrativen Nebenerwerb mit dem Verkauf von Kunden-E-Mailadressen…

Nur E-Mails, die an sparkasse@cofidibu.de adressiert sind, können von Connys Bank stammen, zur weiteren Sicherheit hilft noch ein zusätzlicher Blick, ob die Absenderadresse der angeblichen Bank glaubhaft erscheint.

Weiterer Vorteil einer solchen Differenzierung ist, dass man bei Spambefall einer Adresse nur diese ändern und eher wenige Kontakte informieren muss, als wenn man eine Adresse für alles verwendet.

Besonders das Beispiel im o.a. Heise-Artikel über Betrugsversuche, an die Netflix-Logindaten von Netflix-Kunden heranzukommen – mittels sehr gut gefälschter vorgeblicher Netflix-Mails, die Kunden zum Einloggen zwecks Abo-Änderungen zu bewegen trachten -, scheint im ersten Moment darauf zu deuten, dass man sich kaum vor solchen Versuchen schützen kann. Wenn man nicht allerhöchst aufmerksam ist.

Aber tatsächlich ist es so, dass man sich schützen kann, bleiben wir noch einmal bei Conny Fidibusski:

Conny verwendet für jegliche Kommunikation mit Netflix ausschließlich die E-Mailadresse netflicks.cofidibu@toffline.net bzw. (mit eigener Domain)netflicks@cofidibu.de.

Netflix verfügt gar nicht über andere Adressen von Conny. Sollte also das Unternehmen nicht Adressen fremd-verteilen oder ein gehöriges Datenbankloch haben (in beiden Fällen könnte man damit im Netz öffentlich werden), kann ein Fremder Conny überhaupt keine Mails schicken und erfolgreich Netflix »vorspielen« – wenn Conny aufmerksam ist. Der Betrüger hätte nämlich irgendeine andere von Connys Adressen irgendwoher bekommen, und das kann man wie beschrieben erkennen, wenn man danach schaut!

Ich selbst habe auch schon Phishing-Versuche, angeblich von meiner Bank, bekommen. Allerdings leider an Adressen gerichtet, die meine Bank garantiert nicht kennen kann. Die Mails habe ich einfach ohne weiterzulesen gelöscht. Sie waren erwiesenermaßen Fake.

Man kann sich also ziemlich zuverlässig vor Betrugsversuchen schützen, wenn man die recht einfache Methode nutzt, die ich hier beschreibe.

Leider scheint es so, dass in Artikeln wie den verlinkten immer wieder massivst alarmiert und gewarnt wird – dann aber die Leute alleine stehengelassen werden, wenn es darum geht, ihnen Handreichungen zu geben, wie sie sich erfolgreich schützen können!

Anmerkung zur Praxistauglichkeit:

Ich selbst verwende seit vielen Jahren nach diesem Prinzip knapp vierzig Aliase auf mein E-Mailkonto. Anfangs bei der ursprünglichen Einrichtung waren es wohl knapp zwanzig Adressen. Es sind vielleicht zwei oder drei Aliase, die ich im Jahr neu erzeuge und ca. einen, den ich wieder lösche, z.B. wegen Spambefall.

Und… aus der Praxis, gestern

Warum fiktive Beispiele, wenn die Realität die besseren Beispiele liefert?

Gestern kam eine Mail an mich herein, die selbst mich erst einmal verunsicherte. Und zwar aus zwei Gründen:

  1. Sie alarmierte eine mögliche Kündigung meiner eigenen Domain.
  2. Sie schien tatsächlich – aber nur auf den ersten flüchtigen Blick – von meinem Hosting-Provider (Pixel X e.K.) zu kommen.

Auf den zweiten, genaueren Blick allerdings wurde mir schnell klar: Gut gemacht, Wolfgang, aber der Betrugsversuch ist leider doch zu durchsichtig. Hier die Nachricht (die Links habe ich unklickbar gemacht,die Tippfehler ‚Aktalisieren‘ und ‚kontoinformationem‘ sind original):

[Von: pixelx GmbH. <pixelx.de @ support.de>
An: undisclosed recipients:;
Betreff: Überprüfen Sie bitte Ihre Kontoinformationen.]

Sehr geehrter Kunde,

Ihr Domainname läuft innerhalb von 3 Tagen ab.

Sie können Ihre Domain automatisch erneuern, indem Sie eine
Domainverlängerung anfordern.

Klicken Sie auf den Link in dieser E-Mail, um die Domain für ein
weiteres Jahr zu verlängern.

Sie sollten Ihren Domainnamen so bald wie möglich erneuern, damit er in
Ihrem Namen registriert wird.

Klicken Sie hier wenn Sie Ihre Domain verlängern möchten:

ht__ : // sso. pixelx. de / Aktaliseren-sie-ihre-kontoinformationen [1]

Sobald wir Ihre Zahlung erhalten haben, erhalten Sie eine Bestätigung,
daß Ihre Domain erneuert wurde.

Wir danken Ihnen für Ihr Vertrauen.

Mit freundlichen Grüßen,

HOSTING BY PASSION – PIXELX.DE



Links: htt__:// www.oappsit.com / Pixelex. Team
[1]

Ok, was an dieser Mail ist für mich so verdächtig gewesen, dass ich mir auch die Kopfdaten näher angeschaut habe? Obwohl das gar nicht mehr nötig gewesen wäre.

  1. Die Mail erreichte mich an eine meiner E-Mailadressen, mit der ich niemals mit meinem Provider kommuniziert hätte – er kennt sie überhaupt nicht. Es wurde also nicht die ausschließliche Adresse verwendet, die ich gemäß meiner o.g. Methode für meinen Provider eingerichtet habe. Zusätzlich ist die Mail noch nicht einmal an mich gerichtet – im AN:-Feld steht nämlich gar nicht meine E-Mailadresse, sondern ‚undisclosed recipients:;‚, was klar macht, dass sie gleichzeitig noch an viele andere Adressaten gesendet wurde. Und der Absender stimmt ebenfalls nicht: Die pixelx GmbH gibt es nicht, PixelX ist eine e.K. Und deren Domain ist garantiert nicht @support.de.

    Das wäre es eigentlich schon gewesen, ich hätte die Mail einfach löschen können. Aber ich will ja in meiner Untersuchung wirklich ganz sicher sein.

  1. Meine Domain muss nicht verlängert werden, sie ist Vertragsbestandteil meines Hostingvertrages und wird inklusiv abgerechnet. Erst, wenn ich diesen Vertrag kündigen würde, müsste ich sie zu einem neuen Provider umziehen bzw. umschreiben lassen. Also: inhaltlich komplett FAIL.
  2. Die beiden Links sind betrügerisch. Sie haben überhaupt nichts mit den Domain-Links meines Providers zu tun, obwohl ‚pixelx‘ darin vorkommt, aber eben nicht als Ziel-Domain: https://… … .pixelx.de.
  3. Der Phishing-E-Mail fehlt jeglicher Text-Fuß am Ende, mit den Rechtsform- und Kontaktangaben, die jede seriöse Firma als automatisierte Vorlage in all ihren E-Mails mitsendet.

Fazit:

Diese betrügerische E-Mail verrät sich, obwohl im ersten Moment wirkungsvoll, schon beim zweiten, ruhigen Blick gleich auf vier verschiedene Weisen!

Sie versucht den unvorbereiteten Empfänger im ersten Satz in Alarmstimmung, in Unruhe zu versetzen. Wer jetzt verschreckt weiterliest und das vorgeblich Problem, das unmittelbar darauffolgend dargelegt wird, passiv (weil erschrocken, das Kaninchen vor der Schlange) zur Kenntnis nimmt, wird sofort darauf auf die erleichternde Lösung stoßen: Klicke jetzt sofort auf den nachfolgenden Link und dein Problem wird quasi automatisch gelöst. Und schon hat man verloren!

Also:

Wenn es per E-Mail Alarm gibt, zurücklehnen und die Mail noch einmal lesen und Punkt für Punkt prüfen, so, wie ich es eben geschildert habe. Dann fliegen 99,99 Prozent aller Betrugs-E-Mails ganz schnell als das auf, was sie sind: Betrugsversuche.

Kommentare

2 Antworten zu „Phishing und anderer Betrug“

  1. ClaudiaBerlin

    „Wichtig ist, dass Conny selbst all diese Adressen ausschließlich für die jeweiligen Zwecke verwendet. “

    Das würde für mich bedeuten, mir entsprechend viele Accounts im Mailprogramm einzurichten – also doch Pop3 oder Imap, keine bloßen Aliase. Wär mir zuviel, aber ich hab auch kein Problem damit, auf Absender und Kopf zu schauen und klicke nur auf Links, wenn ich sehr sehr sicher bin, dass es korrekt ist.

    Hier übrigens ein wundervolles Video, das zeigt, wie ein kundiger User einen Telefonbetrüger („bin von Microsoft, Ihr PC wurde gehackt“) aus Indien 2 Stunden beschäftigt und zur Weißglut getrieben hat – herrlich!

    https://www.youtube.com/watch?v=_WIF4CXA3ds

    Antworten
  2. Christian

    Lieber Boris,

    bin durch Zufall über deinen Blog gestolpert, weil ich auch den Derila-Kissen-SPAM bekomme und dein Blog da direkt als Suchergebnis auftaucht. 😎 Schön zu lesen, dass nicht nur ich diesen SPAM-Dreck bekomme.

    Aber darum geht es mir mit diesem Kommentar garnicht. Ich wollte darauf hinweisen, dass man sich das Anlegen der ganzen Alias-Adressen sparen kann, weil es (bei fähigen und praxisorientierten Mailanbietern) die sog. Plusadressierung gibt. Hier ein ausführlicher Blogartikel zu dem Thema: https://cybersecurefox.com/de/e-mail-plus-adressierung-leitfaden/

    Vielleicht hilft das ja dem/der ein oder anderen hier.

    Für die Plusadressierung muss NICHTS weiter eingerichtet werden, einfach nur vor dem @ ein + und einen gewünschten Tag vergeben. Die Mail wird wie gewohnt an die Adresse vor dem Plus zugestellt, lässt sich aber künftig ganz einfach filtern.

    Gruß
    Christian

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert