Die Phishing-Attacken auf deutschsprachige Nutzer setzen sich auch im Jahr 2013 fort. Bereits von November zu Dezember des letzten Jahres konnte das Eleven Research-Team einen Anstieg der Phishing-E-Mails um 93 Prozent verzeichnen. Im Allgemeinen stehen Kunden von international verbreiteten Zahlungsdienstleistern wie PayPal oder Kredikartenkunden von Mastercard oder Visa im Visier der Kriminellen. In einigen Fällen werden aber auch regionale Banken oder Kreditinstitute ausgewählt. Die Erstellung der Phishing-E-Mail ist dann aufwändiger, aber die Erfolgsaussichten des Betrugs sind größer. Im Folgenden wollen wir zwei aktuelle Phishing-E-Mails mit typischen Erkennungszeichen genauer betrachten.
Postbank: „Sehr geehrter Kunde …“
Die erste Phishing-E-Mail kommt vermeintlich von der Postbank, die angeblich ein nicht näher beschriebenes Sicherheitssystem einführt.
Um das Online-Banking weiter nutzen zu können, soll der Kunde eine Reihe von persönlichen Daten eingeben. Der Klick auf den angegeben Link führt zu einer Internetseite im Layout der Postbank.
Am Ende wird nach der Mobilnummer für das mTan-Verfahren gefragt. Hat man Zugangsdaten zum entsprechenden Konto kann man mit Hilfe einer Tan eine neue Mobilfunknummer angeben. Zu dieser werden dann zukünftig alle mTans geschickt.
PayPal: Sicherheitsmaßnahmen
Das zweite untersuchte Beispiel ist ebenfalls in deutscher Sprache verfasst. Angeblich stammt die E-Mail von PayPal.
Der Text ist deutlich verständlicher als im vorangegangenen Beispiel, dennoch nicht fehlerfrei und mit einer eher merkwürdige Begründung für eine Kontosperrung und die Nötigung zur Abgabe von Daten. Anders als im vorigen Fall ist das Phishing-Formular hier angehängt und muss lokal geöffnet werden. Das Schloss-Symbol steht nicht für wirkliche Sicherheit und hat keinesfalls etwas mit dem Schloss-Symbol in der Adressleiste des Browsers zu tun, wenn man eine gesicherte Verbindung herstellt. In unserem Falle also ist es bloße Dekoration. Nach Abgabe der Daten werden diese zu einem Server geschickt, der bei der Analyse durch das Eleven Research-Team bereits nicht mehr erreichbar war.
Woran lässt sich erkennen, dass es sich um eine Phishing-E-Mail handelt?
- Der Kunde wird nicht mit Namen angesprochen und es fehlen jegliche individuelle Hinweise (Kontonummer, ID, o.ä.).
- Die deutschen Umlaute werden nicht korrekt dargestellt und auch der Text ist streckenweise unverständlich. Außerdem wird von Schweizer Banken gesprochen, die jedoch nichts mit der deutschen Postbank zu haben. In der Schweiz heißt das Kreditinstitut Postfinance. Encodingfehler und unsinnige Text (-fragmente) sind jetzt noch zuverlässige Merkmale einer Phishing-E-Mail, in Zukunft werden die Texte jedoch besser werden und auch die Probleme des Encodings werden die Betrüger bald lösen.
- Der Link in den E-Mails führt zu einer ungesicherten Internetseite (ohne HTTPS) und der Domainname hat nichts mit der Postbank zu tun. Also wenn Sie eine verdächtige E-Mail bekommen, rufen Sie die Website in Ihrem Browser auf (durch manuelles Eingeben der Adresse). Keinesfalls folgen Sie dem Link in der E-Mail, der im besseren Fall zu einer Phishing-Seite führt, im schlechtesten Fall zu einer Drive-by-Malware-Site, auf der Sie ein Exploit-Pack erwartet.
- Die Links der E-Mail funktionieren nicht oder nur teilweise. In unserem Falle führt der Link Callback-Service ins Leere. In anderen Fällen führten die Links jedoch auf die Originalseiten, da diese komplett kopiert wurden. Sollte dies der Fall sein, kann man die Ausgangsseite (die vermutete Phishingseite) mit der verlinkten vergleichen.