2073624

Gegen Phishing-Mails: Schluss mit dem Kontoklau

04.07.2015 | 10:03 Uhr |

Selbst Experten können eine sehr gut gefälschte Mail nicht auf Anhieb von einer echten Nachricht unterscheiden. Denn die Fälschungen imitieren mittlerweile das Original zu perfekt.

Erst eine Analyse der enthaltenen Links oder der versteckten Sendeinformationen offenbart, welche Mail harmlos ist und welche Ihre Daten stehlen möchte. Wie Sie am besten erkennen, welche Mail Sie bedenkenlos löschen können, erfahren Sie in diesem Beitrag. Als Phishing-Mails werden E-Mails bezeichnet, die Ihnen vertrauliche Informationen stehlen wollen, etwa den Log-in zu Ihrer Bank, zu einem Bezahlservice oder einem Online-Shop. Die Phishing-Mails fälschen dafür Absender und Aussehen der entsprechenden Original-Mails. Die Nachricht darin soll Sie auf eine wiederum gefälschte Web-Seite locken. Dort findet meist der Diebstahl der persönlichen Daten statt. Einige Phishing-Mails zielen allerdings nicht auf Ihre Daten, sondern wollen Ihren PC mit einem Virus verseuchen. Dieser steckt dann entweder als gefährlicher Dateianhang in der Mail oder er lauert auf der Website, auf die die Mail Sie locken will.

Lesetipp: Die 20 lustigsten Phishing-Mails

So steigt die Gefahr, Opfer eines Phishing-Tricks zu werden

Damit das Opfer auch tatsächlich auf den Link in der Phishing-Mail klickt und später auf der gefälschten Website seine Daten preisgibt, drohen die Mails oft mit Kosten. So versendeten Kriminelle im Februar 2015 Phishing-Mails etwa an Kunden der Commerzbank. Sie wurden aufgefordert, ihre hinterlegten Daten zur Sicherheitsbestätigung erneut einzugeben. Komme man der Aufforderung nicht binnen 14 Tagen nach, so müsse dies über den Postweg erfolgen, was mit einer Bearbeitungsgebühr in Höhe von 49,95 Euro verbunden sei. Andere Phishing-Mails, etwa an Paypal-Kunden, drohen mit einer Kontensperrung, wenn man nicht reagiere. Oder ein Online-Shop kündigt an, eine hohe Rechnung demnächst vom Konto des Mailempfängers abzubuchen.

Stellen Sie sich vor, Sie haben Paypal gerade genutzt und bekommen nun eine solche Mail, die Sie vor Problemen warnt. Man muss nicht leichtgläubig sein, um das interessant zu finden.
Vergrößern Stellen Sie sich vor, Sie haben Paypal gerade genutzt und bekommen nun eine solche Mail, die Sie vor Problemen warnt. Man muss nicht leichtgläubig sein, um das interessant zu finden.

Ein Empfänger, der gar kein Konto bei der Commerzbank oder bei Paypal hat, wird sich lachend auf die Schenkel klopfen und die Phishing-Mail löschen. Doch wer Paypal nutzt, ist schon eher gefährdet, etwa auf ein Paypal-Phishing hereinzufallen. Erfolgreich sind Phishing-Mails meist dann, wenn das Opfer durch Zufall kurz vor der Mail etwas mit dem benannten Dienst zu tun hatte. Haben Sie etwa abends in einem Online-Shop per Paypal bezahlt und finden Sie morgens eine Nachricht von Paypal in Ihrem Postfach, dürfte Sie das naturgemäß interessieren. Steht dann etwas von Kontensperrung in der Nachricht, sind Sie wahrscheinlich alarmiert, zumindest für einen kurzen Moment. Denn wer will schon als säumiger Zahler dastehen, nachdem man etwas gekauft hat? Wer in einem solchen Moment des Schreckens reagiert, der klickt wahrscheinlich auf den Link in der Mail und gibt in der Folge seine Daten preis.

Rufen Sie immer selbst die Website eines Dienstes auf

Diesen Tipp kennen Sie: Klicken Sie nicht auf Links in verdächtigen Mails von Ihrer Bank oder von Bezahldiensten. Und genau genommen, können Sie hier das Wort „verdächtigen“ streichen! Denn wenn Ihnen Ihre Bank, Amazon, DHL, Paypal oder Ebay etwas Wichtiges mitzuteilen haben, dann werden Sie diese Information fast immer auch in Ihrem Kundenkonto auf der jeweiligen Website finden. Statt auf den Link in einer Mail zu klicken, starten Sie einfach Ihren Internetbrowser, geben eigenhändig die Adresse des Dienstes ein und melden sich an. Viele Dienste zeigen nach dem Einloggen neue Mitteilungen an, etwa Banken oder Ebay. Bei anderen sind Probleme im Kontenverlauf leicht zu erkennen, etwa bei Paypal.

Sollte bei einem fraglichen Dienst kein Mitteilungspostfach vorhanden sein und sich auch sonst nichts Erhellendes aus dem eigenen Kundenkonto ergeben, dann suchen Sie auf der Website die Hotline-Nummer oder die Support-Mail. Dort melden Sie sich, um die in der Mail genannten Problem anzusprechen. Wenn Sie den Weg per Mail wählen, dann können Sie die fragliche Phishing-Mail auch dorthin weiterleiten und um Stellungnahme bitten.

Wenn Sie eine Phishing-Mail selbst analysieren möchten, dann sehen Sie sich zunächst die enthaltenen Links an. Interessant ist der zentrale Link in der Mail, der auch inhaltlich hervorgehoben ist. Verlinkungen oben oder unten in der Mail rufen meist die echte Website auf, um so die Glaubwürdigkeit zu erhöhen.

Die Kriminellen verstecken den Link in einer Mail meist hinter harmlosen Text oder einer Textgrafik. Der Text kann etwa „www.paypal.com“ lauten oder in der Grafik steht „Informationen aktualisieren“. Um an den tatsächlichen Link dahinter zu kommen, führen Sie die Maus darüber, aber ohne zu klicken. Es öffnet sich dann entweder ein kleines Pop-up mit dem Link oder das Mailprogramm zeigt den Link unten in der Infozeile an. Wer es übersichtlicher haben möchte, kann auch mit der rechten Maustaste auf den Text klicken und über „Link kopieren“ sich die Webadresse zunächst in die Zwischenablage und anschließend in einen Texteditor kopieren.

Aufbau einer Webadresse:  Um einen Link analysieren zu können, müssen Sie den Aufbau einer Webadresse kennen. Im Prinzip ist dies recht einfach. Die Adresse besteht aus einer Domain und einer Top Level Domain (TLD). Davor steht eine Angabe zum verwendeten Protokoll. Bei Webseiten ist das http:// oder https://, wobei http:// oft nicht mit angezeigt wird, meist aber die Angabe www. Also im Prinzip https://www.domain.TLD oder etwa  https://www.paypal.com   oder   https://paypal.com .

Die Domain kann man sich als Website-Betreiber frei aussuchen, sofern sie nicht vergeben ist. Als TLD sind oft die Länder-Domains (englisch: Country Code Top-Level-Domains, CCTLD) üblich. In Deutschland also .de. Daneben gibt es einige generische TLD (GTLD), etwa .com für commercial, .gov für government oder .org für organization.

Neue Top-Level-Domains:  Nachdem die Zahl der GTLD über Jahre recht begrenzt war und man als Internetnutzer einen guten Überblick über alle GTLDs behalten konnte, werden nun immer mehr dieser Domains verfügbar gemacht. Beispiele dafür sind etwa .berlin, .bio, .cash, .center .club, .tips, oder .versicherung. Sie können also auch auf eine Internet Adresse wie diese stoßen: www.beste.versicherung. Insgesamt existieren heute weit über 700 TLD. Dadurch ist es mittlerweile deutlich schwerer geworden, eine getarnte Webadresse zu analysieren.

Tarnung durch lange Webadressen:  Die Kriminellen tarnen ihre gefährlichen Adressen auch dadurch, dass sie diese nach vorne durch Subdomains verlängern. Diese sind immer durch einen Punkt getrennt. Das sieht etwa so aus: www.subdomains1.subdomains2.domain.TLD oder so www.paypal.comm.znaower.ru

Die einzige Domain in diesem Beispiel ist znaower mit der Top Level Domain .ru. Zusätzlich verlängern die Kriminellen getarnte Phishing-Links auch nach hinten. Dabei handelt es sich entweder um eine Ordnerstruktur auf dem Webserver oder um Code. Das sieht etwa so aus:
www.znaower.ru/paypal.de/ihrkonto.html
oder
www.znaower.ru?paypal

So erkennen Sie die Domain:  Der Domain-Name seht immer links vor der Top-Level-Domain. Die TLD seht immer vor dem ersten Schrägstrich oder dem ersten Fragezeichen. Ausgenommen sind die Schrägstriche der Protokollangabe http://. Im obigen Beispiel ist das somit www.znaower.ru.

Ein Hinweis: Die hier genannten Phishing-Links sind von uns nicht aktiviert, um Sie nicht versehentlich auf diese Seiten zu führen. Außerdem möchten wir nicht, dass  Sicherheits-Tools diese Links monieren und  eine Warnung vor unserer Web-Seite ausgeben.

Leicht zu erkennen sind Links auf IP-Adressen, etwa dieser hier: http://181.41.219.174/zj0lm RV7t. Er stammt aus einer Phishing-Mail für 1und1-Kunden. Aber kein seriöser Dienst versendet Links auf IP-Adressen. Sie sind also schon fertig mit der Analyse. Möchten Sie dennoch weiterforschen, dann geben Sie die IP-Adresse in das Eingabefeld auf http://net work-tools.com ein und drücken auf „Go“. Nach kurzer Zeit wird Ihnen rechts unter „Domain Name“ die zugehörige Domain genannt. Es war in diesem Beispiel  advicecenterrevise.com . Die Seite ist mittlerweile offline. Der Name ist nicht wirklich verdächtig, aber mit 1und1 hatte die Seite eher nichts zu tun. Wahrscheinlich war es eine harmlose Website, dessen Server von Hackern gekapert wurde. Diese haben dann ihre Phishingsites auf den Server untergebracht. Eine Google-Suche nach advicecenterrevise zeigt zudem, dass die Domain bereits auf Spam-Listen steht und dass ein ihr zugehöriger Webserver wegen offener Ports negativ aufgefallen war .

Anspruchsvoller ist schon dieser Link aus einer gut gemachten Phishing-Mail (siehe Abbildung oben rechts) an Paypal-Kunden: http://pp-umstellung-sepa2.com/paypal.de/paypal.de/sicherheit-paypal/0/T2xlOkV2ZXJzOm9sZS5ldmVyc0BnbXgubmV0DQo=/www.paypal.de.html

In recht gut gemachten Phishing-Mails für Paypal-Nutzer versteckt sich ein Link, der vier Mal das Wort paypal enthält. Das soll die tatsächliche Domain verstecken.
Vergrößern In recht gut gemachten Phishing-Mails für Paypal-Nutzer versteckt sich ein Link, der vier Mal das Wort paypal enthält. Das soll die tatsächliche Domain verstecken.

Streichen Sie gedanklich die zwei Schrägstriche nach „http:“. Jetzt suchen Sie den ersten Schrägstrich oder das erste Fragezeichen von links und prüfen das Wort davor, um die Top Level Domain zu finden. Es ist „.com“. Die Domain seht immer links davor. Es ist somit „pp-umstellung-sepa2“. Der ganze Text nach „.com“ dient nur der Verwirrung. Technisch wird hier ein Dateipfad auf dem Server mit drei Ordnern angegeben. Es sind die Ordner mit den Namen „sicherheit-paypal“, „0“ und „T2xlOkV2ZXJzOm9sZS5ldmVyc0BnbXgubmV0DQo=“. Darin befindet sich die Datei www.paypal.de.html, also die anzuzeigende Web-Seite.

Zurück zur Domain  pp-umstellung-sepa2.com . Das ist nicht die Paypal-Domain, weshalb Sie nicht auf den Link klicken sollten. Möchten Sie aus Neugier weiterforschen, geben Sie pp-umstellung-sepa2.com bei http://network-tools.com ein. Dort erfahren Sie, dass die Domain bei einem russischen Domain-Verwalter registriert wurde. Das ist für den US-amerikanischen Dienst Paypal eher verdächtig. Der Mieter der Domain ist ein Mann aus Reutlingen. Das ist an sich nicht verdächtig, da jede Firma bei der Registrierung einer Domain eine natürliche Person als Admin angeben muss. Doch dass der gewisse Herr B. als seine Mailadresse @t-online.de angibt, ist für eine Firma wie Paypal wiederum eher verdächtig. Googelt man den die Mailadresse, erfährt man, dass Herr B. oder derjenige, der die Identität von Herrn B. missbraucht, Dutzende ähnlich lautender Webadressen registriert hat. Das ist sehr verdächtig. Wägt man nun alle Erkenntnisse aus der Link-Analyse ab, sind hier weit mehr Teile verdächtig als harmlos.

So checken Sie gefahrlos, was hinter Mini-URLs steckt

Einige Phishing-Mails tarnen die enthaltenen Links über Mini-URLs. Vom Mini-URL-Dienst Bit.ly sieht eine solche Adresse etwa so aus: http://bit.ly/1kwJemF . Hier lässt sich die eigentliche Domain nicht erkennen, weshalb bei verkürzten Webadressen immer Vorsicht geboten ist. Mit den folgenden Tipps lassen sich die Links aber gefahrlos prüfen.

Einfach geht das bei Mini-URLs von Bit.ly. Markieren Sie eine Bit.ly-Mini-URL, und kopieren Sie sie in die Adresszeile Ihres Browsers. Tippen Sie dann noch ein Plus ans Ende des Links und drücken Sie die Taste Enter. Sie landen dann auf der Seite  https://bitly.com  und bekommen dort die Langversion des Links präsentiert.

Allen anderen Mini-URLs kopieren Sie einfach auf die Seite  http://longurl.org . Sie zeigt die zugehörige Langversion gefahrlos an. Diese können Sie dann wie oben beschrieben analysieren. In unseren Tests war die Seite nicht immer zuverlässig erreichbar. Sollte das der Fall sein, verwenden Sie  www.unshorten.it .

Übrigens:  Der Sicherheitsspezialist Avira hat bei gängigen Mini-URL-Diensten geprüft, hinter wie vielen Kurz-Links eine Phishing-Seite steckt. Am schlechtesten hat der Dienst Tinyurl.com abgeschnitten. Ganze 41,30 Prozent aller Links dort führen auf Phishing-Sites. An zweiter Stelle steht Bit.ly mit rund 15 Prozent, gefolgt von R2me.com mit rund zwölf Prozent. Sie finden die komplette unrühmliche Liste im Blog von Avira .

So ermitteln Sie den tatsächlichen Absender einer Mail

Eine Phishing-Mail verrät sich aber nicht nur durch die enthaltenen Links, sondern auch durch den gefälschten Absender. Diese Fälschung ist unter Umständen allerdings nur schwer zu durchschauen. Die folgenden Tipps helfen dabei.

Auf dieser Seite sehen Sie zwei Phishing-Mails, die beide angeblich vom Online-Versender Amazon stammen. Die eine Nachricht ist eher leicht als Fälschung zu erkennen, da schon

die Absenderangabe mit einer ungewöhnlichen Adresse aufwartet ( m36406308-1@smtp.1und1.com  im Auftrag ...). Außerdem stimmt die Auftragsnummer in der Betreffzeile nicht mit der Nummer in der Mail überein. Allerdings sind das Aussehen und der Text der Mail nahe am Original dran.

Diese und die folgende Phishing-Mails sollen angeblich von Amazon stammen. Die obere imitiert das Layout der echten Amazon-Mails nahezu perfekt, zeigt aber eine ungewöhnliche Absender¬adresse an. Die untere Mail hat einen überzeugenden Absender (sicherheit@amazon.de), aber kein vertrautes Layout. Trotz dieser Schwächen ist es bei beiden Mails verständlich, wenn sie ein Empfänger für echt hält und auf den angebotenen Link klickt.
Vergrößern Diese und die folgende Phishing-Mails sollen angeblich von Amazon stammen. Die obere imitiert das Layout der echten Amazon-Mails nahezu perfekt, zeigt aber eine ungewöhnliche Absender¬adresse an. Die untere Mail hat einen überzeugenden Absender (sicherheit@amazon.de), aber kein vertrautes Layout. Trotz dieser Schwächen ist es bei beiden Mails verständlich, wenn sie ein Empfänger für echt hält und auf den angebotenen Link klickt.
Diese und die obige Phishing-Mails sollen angeblich von Amazon stammen. Die obere imitiert das Layout der echten Amazon-Mails nahezu perfekt, zeigt aber eine ungewöhnliche Absender¬adresse an. Die untere Mail hat einen überzeugenden Absender (sicherheit@amazon.de), aber kein vertrautes Layout. Trotz dieser Schwächen ist es bei beiden Mails verständlich, wenn sie ein Empfänger für echt hält und auf den angebotenen Link klickt.
Vergrößern Diese und die obige Phishing-Mails sollen angeblich von Amazon stammen. Die obere imitiert das Layout der echten Amazon-Mails nahezu perfekt, zeigt aber eine ungewöhnliche Absender¬adresse an. Die untere Mail hat einen überzeugenden Absender (sicherheit@amazon.de), aber kein vertrautes Layout. Trotz dieser Schwächen ist es bei beiden Mails verständlich, wenn sie ein Empfänger für echt hält und auf den angebotenen Link klickt.

Interessanter ist dennoch die zweite Mail mit dem scheinbaren Absender sicherheit@amazon.de. Die Mail fordert Sie auf, wegen eines Sicherheitsproblems auf einen Link zu klicken. Möchten Sie sich diesen Absender genauer ansehen, benötigen Sie die Infos aus dem Mail-Header. Das ist der Teil der Mail, in dem die Protokolldaten der Übermittlung gespeichert sind. Alle gängigen Mailprogramme und Webmailer verbergen allerdings diesen Infoteil. So kommen Sie bei gängigen Mailclients dennoch an die Info:

Outlook 2013:  Öffnen Sie die Mail und wählen Sie „Datei / Eigenschaften“. Markieren Sie den kompletten Text im Feld „Internetkopfzeilen“ und kopieren Sie ihn mit der Tastenkombination Strg-C.

Thunderbird:  Markieren Sie die Mail, und wählen Sie „Ansicht / Nachrichten-Quelltext“. Markieren Sie im neuen Fenster alles bis einschließlich „to: <Ihre Mailadresse>“, und kopieren Sie den Text mit dem Hotkey Strg-C.

Gmail (Webmail):  Lassen Sie sich die Mail anzeigen, und klicken Sie rechts oben auf den kleinen Pfeil gleich neben dem Antwortenpfeil. Wählen Sie dort „Original anzeigen“. Markieren Sie im neuen Fenster alles bis einschließlich „to: <Ihre Mailadresse>“, und kopieren Sie den Text mit der Tastenkombination Strg-C.

GMX (Webmail):  Öffnen Sie die Mail, und klicken Sie rechts oben auf das kleine „i“ neben der Uhrzeit. Markieren und kopieren Sie den Text aus dem neuen Fenster.

Mail-Header aufbereiten und analysieren

Die besten Hinweise über die Herkunft der Mail stecken in den Received-Zeilen. Jeder Server, der die Mail an Sie weiterleitet, fügt oben eine neue „Received:“-Zeile mit den Infos „from“ (Absender) und „by“ (Empfänger) ein. Beim Mailversand sind mindestens zwei Mailserver beteiligt. Es können aber auch eine ganze Reihe von Servern die Mail weitergeleitet haben. Vertrauenswürdig ist nur der letzte Eintrag, denn das ist die Received-Zeile Ihres eigenen Mailproviders. Alle Zeilen davor können gefälscht sein. Dennoch lohnt sich ein Blick auch auf die untersten Zeilen, da sich die meisten Phisher nicht die Mühe machen, an dieser Stelle zu manipulieren. Sie begnügen sich stattdessen damit, den Eintrag in der Zeile „From“ zu manipulieren, wo sich in unserem Beispiel sicherheit@amazon.de befindet.

Starten Sie das Programm Etoolz , und wählen Sie oben „Header Analyzer“. Fügen Sie den eben kopierten Text in das Feld „Kopfzeilen“, und klicken Sie auf „Start“. Das Tool listet nun unter „Received-Übersicht:“ die Einträge aller beteiligter Mailserver auf, beginnend mit dem zeitlich ersten, also damit genau umgekehrt als im original Header. Hinter „Gesendet von:“ steht die IP-Adresse des ersten absendenden Servers. Kopieren Sie diese, und fügen Sie sie ins Eingabefeld auf der Website http://network-tools.com ein und klicken dort auf „Go“. Die Website versucht möglichst viele Infos über die IP zu erhalten. Sie zeigt in unserem Beispiel, dass der Server zu der IP wahrscheinlich in der Ukraine steht. Bingo! Es ist zwar nicht ausgeschlossen, dass Amazon-Deutschland ein Datencenter in der Ukraine unterhält, aber doch eher unwahrscheinlich.

Mit der Freeware Etoolz analysieren Sie den Mail-Header einer E-Mail-Nachricht und decken so Betrugsversuche auf. Das Tool stellt die Infos etwas übersichtlicher dar als die meisten Mailprogramme.
Vergrößern Mit der Freeware Etoolz analysieren Sie den Mail-Header einer E-Mail-Nachricht und decken so Betrugsversuche auf. Das Tool stellt die Infos etwas übersichtlicher dar als die meisten Mailprogramme.

Zurück im Programm Etoolz kontrollieren Sie noch die Original-Received-Zeile (unter „Received-Details:“) und finden dort die Info „modewelt1blazingfastio“. Darin steckt vermutlich der Hostname Modewelt1 auf der Domain blazingfast.io. Die Wahrscheinlichkeit, dass diese Mail von Amazon stammt, ist somit sehr gering: Sie haben sie als Phishing-Mail enttarnt.

Mail-Header am Smartphone aufbereiten und analysieren

Gängige Mail-Apps für Android gewähren Ihnen keinen Zugriff auf den Mail-Header einer Nachricht. Damit Sie dennoch an diese Infos kommen, müssen Sie sich über den Browser in Ihr Mailkonto einloggen. Wer Gmail nutzt, der wird auf dem Smartphone oder Tablet automatisch zu einer mobilen Version seines Postfachs weitergeleitet. Über den Menüknopf müssen Sie dann die „Desktop-Version“ aktivieren. Haben Sie das bei Gmail gemacht, müssen Sie zusätzlich noch zum Ende der Website gehen und dort nochmals „Desktop“ anwählen. Rufen Sie dafür eine einzelne Mail auf. Die Desktop-Version von Gmail wird nun automatisch geladen, und Sie können oben bei einer Mail „Original anzeigen“ wählen. Es erscheint die Mail einschließlich Header. Tippen Sie so lange auf ein Wort des Headers, bis es markiert ist. Nun können Sie per Fingerwisch die Markierung auf den gesamten Header ausweiten. Per Kopiersymbol oben landet der Test in der Zwischenablage.

Das praktische Tool Etoolz gibt es leider nicht als App. Nutzen Sie stattdessen die Website http://www.gaijin.at/olsmailheader.php , in die Sie den kopierten Header einfügen. Tippen Sie dafür lange in das Feld „Kopfzeilen der E-Mail“, bis der „Einfügen“-Knopf erscheint. Wenn Sie auf „Kopfzeilen analysieren“ tippen, stellt die Website den Header besser lesbar dar. Zumindest bei Smartphones und Tablets mit einer höheren Bildschirmauflösung lassen sich so die Received-Zeile ganz gut betrachten.

Am Smartphone sehen Sie den Header einer Google Mail nur in der Desktop-Version (per Menütaste).
Vergrößern Am Smartphone sehen Sie den Header einer Google Mail nur in der Desktop-Version (per Menütaste).

Gehen Sie hier zur untersten Zeile. Dort finden Sie den Eintrag des zeitlich ersten Mailservers. Kopieren Sie die IP-Adresse, und fügen Sie sie bei  http://network-tools.com  ein. Die Ergebnisse, die diese Seite zu der IP liefert, lässt die meisten Spam-Mails auffliegen. Stimmen die Ergebnisse aber mit dem vorgeblichen Absender überein, dann hat sich entweder ein Spammer sehr viel Mühe gegeben oder die Mail ist echt.

Wenn Sie eine verdächtige Webadresse gefunden haben, können Sie diese auf http://network-tools.com eingeben und erhalten so weiterführende Informationen.
Vergrößern Wenn Sie eine verdächtige Webadresse gefunden haben, können Sie diese auf http://network-tools.com eingeben und erhalten so weiterführende Informationen.

Lesetipp: 7 sicherer Tipps gegen Phishing

0 Kommentare zu diesem Artikel
2073624