11.08.2020

Vorsicht Falle
Fishing-Mail: Briefumschlag mit (Angel)haken

Phishing-Mails erkennen – Schaden vermeiden

Wieder ist es beim Betrieb einer Website ähnlich wie im Garten: Nicht alles, was da wächst und gedeiht ist auch nützlich und erwünscht. Hier wie dort kommt es darauf an, dass Sie nützliche von schädlichen Inhalten unterscheiden können.

Ein überaus lästiges und gefährliches Netzgewächs sind Phishing-Mails, die Sie – gerade, wenn Sie eine Website betreiben – sicherlich selbst schon im Postfach gehabt haben.
Sie suggerieren meist dringenden Handlungsbedarf und fordern dazu auf, in der Mail enthaltene Links anzuklicken. Wenn Sie das tun, können Sie damit aber bereits reingefallen sein.
Derartige Links können Skripte im Netz aufrufen, die von den Versendern der Mail eigens eingrichtet wurden, um auf Ihrem Rechner Schadsoftware wie Viren, Trojaner, Spambots oder Ähnliches einzurichten.
Werden solche Seiten mit einem dafür anfälligen Rechner ohne effektiven Virenschutz besucht, so sind Schäden zu befürchten: Daten können verloren gehen. Es entsteht gegebenfalls hoher Aufwand für die Wiederherstellung eines sauberen Systems. Die andere, nicht weniger riskante Variante ist ein über den Link errreichbares angebliches Login-Formular, in dem Sie Kreditkartendaten oder Zugangsdaten von Online-Bank, Webspace- oder Telefon-Provider oder Ähnlichem eingeben sollen, um sich zu irgendeinem vorgeblichen Zweck anzumelden.
Nutzernamen, Passwörter, PINs und TANs, die dort eingegeben werden, gehen direkt an die Autoren der Mail und ermöglichen diesen den Missbrauch der Daten. Die möglichen Folgen sind leicht vorstellbar.
Auch können solche Mails Dateianhänge wie angebliche Rechnungs- oder Mahnungsdokumente enthalten, die nie, wirklich nie, vor eingehender Prüfung der Authentizität geöffnet werden sollten. Auch sie können Schadprogramme enthalten, die sich bei Aufruf auf Ihrem Rechner breitmachen.

Um solche Folgen zu vermeiden ist es essenziell, Phishing-Mails sicher als solche identifizieren zu können: auf  den ersten Blick oft gar nicht so leicht.

Doch keine Angst: Es gibt eine Handvoll Kriterien, die eine Phishing-Mail recht sicher entlarven.

Anbieter / Angebot

Wenn Sie eine Nachricht erhalten, in der man Ihnen beispielsweise mit nahenden Katastrophen hinsichtlich Ihres PayPal-Kontos oder Ihres Netflix-Accounts droht, Sie aber den betreffenden Dienst gar nicht gebucht haben, dann hat sich die Sache für Sie erledigt – egal, wie überzeugend die Mail gefälscht ist. Prüfen Sie also zunächst: Ist es überhaupt möglich, dass der geschilderte Sachverhalt mich betrifft?

Betreff

Meist suggerieren Phishing-Mails schon im Betreff besondere Dringlichkeit: “Letzte Mahnung”, “Letzte Mitteilung vor Einstellung Ihrer Dienste”, “Dringende Änderung an Ihrem Konto”, “Wichtiges Sicherheitsupdate”.
Drohungen mit Mahn- oder Inkasso-Verfahren sind beunruhigend, aber gleichzeitig auch ein Hinweis auf eine wahrscheinliche Fälschung. Selbst der portosparsamste Anbieter wird bei anstehender Beschreitung des Rechtsweges zwecks Rechtssicherheit auf Briefpost zurückgreifen, statt E-Mail zu schicken.
Stets sollte gelten: Ruhe bewahren! Je dringlicher der angebliche Handlungsbedarf, desto sorgfältiger sollten Sie prüfen.

Eine Handlungsanforderung per E-Mail mit empfindlichen Folgen bei Nichterledigung binnen Tagesfrist dürfte in der Realität schlicht ausgeschlossen sein.

Inhalt / Sprache

Auch wenn die Fälschungen optisch immer besser werden, bleibt die in den Texten verwendete Sprache oft auffällig. Hier liefert das eigene Sprachgefühl wichtige Indizien. Ungelenke Formulierungen, grammatische Fehler und Sätze, die wie schlecht ins Deutsche übersetzt wirken, deuten auf Fälschung hin.

Verweisziele

Sie sind das sicherste Kriterium, dass mit der Nachricht etwas nicht stimmt: Die tatsächlich verlinkten Adressen der in der Nachricht enthaltene Links.
Legt man den Mauszeiger im E-Mail-Programm oder Webmailer – OHNE ZU KLICKEN – auf die enthaltenen Links, so wird je nach Software irgendwo, meist unten im Fenster, das Verweisziel angezeigt. Ist hier bei irgendeinem Link eine vom sichtbaren Linktext abweichende Adresse zu sehen, die mit dem angeblichen Anbieter nichts zu tun hat, ist der Fall klar: Fälschung, Finger weg!
In einer jüngst erhaltenen angeblichen Mail des Anbieters Strato lautet einer der angezeigten Links:
https://www.strato.de/manager/billing/history/debt/all/pay
das tatsächliche Verweisziel jedoch
https://zahlung.strato.de.brunosalvador.it/

Screenshot Fishing-Mail

Man könnte auf den ersten Blick an eine Strato-Adresse denken, doch: Der *letzte* durch Punkt abgetrennte Teil der Zeichenkette zwischen dem Doppel-Slash “//” einer URL und dem Ende oder dem ersten einzelnen Schrägstrich, in diesem Fall “it”, ist die Top-Level-Domain.  Der Teil davor, also “brunosalvador”, ist der entscheidende Domain-Name. Einzig diese beiden Teile bezeichnen den verlinkten Server – “brunosalvador.it”. Alles links davon kann in diesem Kontext ignoriert werden. Diese Adresse hat also mit Strato nicht das Geringste zu tun. Die Nachricht ist gefälscht.

Ein weiteres Beispiel: Von wegen DKB-Bank – der Verweis zeigt tatsächlich auf einen völlig anderen Server unter italienischer Top-Level-Domain.

Web-Recherche

Letzte Zweifel kann eine Web-Recherche ausräumen. Die Eingabe des Betreffs in eine Suchmaschine liefert oft eindeutige Ergebnisse. Es finden sich dann unter den Treffern meist Einträge einschlägiger Portale, die sich mit Spam-Warnungen befassen oder Meldungen der Diensteanbieter selbst, die vor in ihrem Namen verbreiteten Phishing-Mails warnen.

Was tun?

Haben Sie eine eingegangene Nachricht zweifelsfrei als Phishing-Mail erkannt, können Sie sie im Grunde ignorieren und löschen. Bleiben nach den oben angeführten Prüfungen noch Zweifel, wenden Sie sich je nach Anlass einfach an den Anbieter, um sich möglicherweise bestehenden Handlungsbedarf bestätigen zu lassen.
Sind Sie sicher, eine Phishing-Mail entdeckt zu haben, können Sie diese auch an den angeblichen Anbieter melden. Viele Anbieter haben für sogenannte Abuse-Meldungen eigens E-Mail-Adressen oder Web-Formulare.

Alle anderen Beiträge