IT-Sicherheit-DE
Published in

IT-Sicherheit-DE

Wie erkenne ich eine betrügerische E-Mail?

Quelle: Andre Fritsche

Betrügerische E-Mails sind meistens auch als Phihingversuche bekannt. Von daher spreche ich im Folgenden über Phishing.

Phishing ist ein großes Problem, von daher stellt sich die Frage, wie ein Unternehmen, aber auch Privatpersonen sich davor schützen können, denn die Folgen von erfolgreichem Phishing sind:

  • Übernommene Konten und Identitätsdiebstahl
  • Informationsabfluss von geschützten & geheimen Informationen
  • Verschlüsselung des privaten Netzwerks bzw. des Unternehmens
  • uvm.

Warum funktioniert Phishing?

Phishing appelliert an Grundbedürfnisse, die wir Menschen haben. Professionelle Phisher achten hierbei auch vor allem auf das Bedürfnis der Sicherheit einzugehen, da sie direkt nach physiologischen Bedürfnissen folgt.

Bedürfnispyramide nach Maslow — Quelle: LMU Dozent Medizinhttps://de.wikipedia.org/wiki/Datei:Maslow_Bed%C3%BCrfnispyramide.svg

Wie genau bewerkstelligen die Angreifer dies?

Im Grunde nutzen sie das aus was wir in unseren Breitengraden als Kapitalismus bezeichnen. Über monetäre Werte wie Geld können wir Dienstleistungen und Waren eintauschen. Wer also viel Geld hat, fühlt sich automatisch sicherer, da keine Sorgen in Richtung größerer Wartungsarbeiten an Immobilien verschwendet werden müssen.

Gleichzeitig befeuert mehr Geld häufig die Erfüllung anderer Bedürfnisse wie “Anerkennung” und “Sozialbedürfnis”. Je mehr Geld wir haben umso höher steigen wir die soziale Leiter. Im Sprachgebrauch spiegelt sich das auch wieder, denn “soziale Brennpunkte” oder “sozial schwach” wird meistens auch mit geringem Einkommen und staatlichen Sicherungsleistungen wie Hartz4 verbunden.

Welche Phishing Strategien haben die Angreifer?

  • Geldgeschenke aus dem Ausland: Bevor man die Millionen Euro bekommt, muss man ein paar tausend Euro in die “Freigabe des Geldes investieren”.
  • Sperrung des Bankkontos auf Grund von Ungereimtheiten: Ein Login auf einer Webseite ist nötig, die der Bank sehr ähnlich aussieht.
  • Bezahlung fehlgeschlagen: Die Bezahldaten der Kreditkarte samt Codes auf der Rückseite müssen auf einer vermeintlichen Shopseite neu eingegeben werden, damit das bestellte Produkt versendet wird

Wie sieht das im Büro aus?

Sicherheit im Büroalltag ist teilweise auch eng an monetäre Mittel geknüpft, denn einen festen, unbefristeten Arbeitsplatz zu haben liefert ein intensives Sicherheitsgefühl. Kreditinstitute sehen dies genauso, denn langfristige Immobilienkredite werden gerne an Beamte und Angestellte in unbefristeten Arbeitsverhältnissen gegeben.

Szenario 1: Eine Person in der HR Abteilung erhält eine E-Mail mit einer Bewerbung auf eine Vakanz, die schwer zu besetzen ist. Der Recruitingerfolg hängt direkt mit der Leistung der Person zusammen und damit auch mit dem Gehalt, eventuell sogar mit einer Gehaltserhöhung. Die Person ist regelrecht euphorisiert, da die Vakanz schon 2 Jahre offen ist:

  • In der E-Mail befindet sich eine Excel Datei
  • Im E-Mail Text ist ein kurzer Text mit dem Hinweis auf die angehängte Datei als Bewerbung
  • Die Datei wird geöffnet
  • Es sollen Makros aktiviert werden, damit der Inhalt gelesen werden kann
  • Durch das Aktivieren des Makros wird ein Stück Software ausgeführt
  • Diese Software lädt Verschlüsselungstrojaner herunter und beginnt seinen Siegeszug durch alle Dateiablagen des Unternehmens
  • Es wird eine Zahlung von mehreren zig Tausend Euro fällig, um an die Daten zu gelangen
  • Der Ausfall der Systeme kostet das Unternehmen womöglich Millionen pro Tag, da niemand arbeiten kann

So ähnlich ist das passiert als 2009 die Firma Lockheed Martin “gehackt” worden ist, die den berühmten F35 Tarnkappen Kampfjet produziert. Die Angreifenden haben damals nicht verschlüsselt, sondern Baupläne und Informationen über das Flugzeug im Fokus gehabt.

F-35 — Bild von Alturo Alvarez — https://unsplash.com/photos/pU7UgT8PPJ4

Nachrichtenbeitrag dazu von 2009: https://edition.cnn.com/2009/US/04/21/pentagon.hacked/

Auf welche Details muss ich achten?

Bei Phishing Mails kommt es immer auf die Details an. Das sind — im privaten wie auch im geschäftlichen Alltag — fast immer die selben Eigenschaften, die eine Phishing Mail ausmachen:

  • Falsche Rechtschreibung
  • Unpassender Absender
  • Falscher Empfänger
  • Falsche Datumsangabe
  • Falsche Ansprache
  • Fehlende Kopf und/oder Fußzeile

Alle Einzelheiten sind zu prüfen bzw. werden teilweise durch das geschulte Auge geprüft, denn gerade fehlende Fußzeilen bei Bankenemails sind häufig ein Indiz für eine Phishing Mail.

Bevor ich zu Beispielen komme möchte ich aber noch eindringlich auf eine Sache hinweisen: Unabhängig von den einzeln betrachteten Eigenschaften ist immer der gesamte Kontext wichtig. Passen die Informationen auch in irgendeiner Art und Weise zusammen?

  • Erwarte ich eine E-Mail von diesem Dienst oder Person?
  • Erwarte ich einen speziellen Anhang? (Rechnungen, Bewerbungen etc.)
  • Bin ich verantwortlich für Bezahlungen?

Beispiel: Amazon Phishing

Häufig geben sich professionelle Phisher auch als beliebte e-Commerce Webseiten aus wie eben Amazon und bieten einem Gutscheine an für die langjährige Treue, oder sie täuschen eine Zahlung vor, die scheinbar abgelehnt worden ist.

Ist die nächste E-Mail also eine Phishing Mail oder nicht? Und wie erkennt man das?

Quelle: Andre Fritsche

Zu prüfen (rote Pfeile):

  • Absender Adresse: Was sagt diese genau aus? Passt sie in den Kontext?
  • Empfänger Adresse: In diesem Fall etwas versteckt auf Grund des Postfachs bei Google Mail. Aber auch hier sollte die eigene Adressen stehen.
  • Links in der E-Mail: “Mein Konto” beispielsweise führt zu einer echten Amazonwebseite
  • Bestellnummer: Ist diese Bestellnummer identisch zu einer Bestellung im eigenen Konto, die noch nicht versendet ist und auf eine Bezahlung wartet?
  • Button “Zahlungsart bearbeiten”: Wohin führt der Link? Dieser Link ist meistens das Ziel der Phisher. Führt er zu Amazon direkt ist alles in Ordnung. Falls nicht, ist es Phishing.

In diesem Fall war die E-Mail von Amazon und ein Klick auf den Button “Zahlungsart bearbeiten” führt tatsächlich zu Amazon. Auch befand sich zu diesem Zeitpunkt eine Bestellung im “unbezahlten” Zustand.

Beispiel: Deutsche Bank Phishing

Bankenmails werden für Phishing auch gerne verwendet, da die Hoffnung besteht in den Zieladressen Kunden der jeweiligen Kreditinstitute zu finden.

Woran erkennt man hier die Phishing Mail?

Quelle: Andre Fritsche
  • Absender E-Mail Adresse: In diesem Fall ist es ein sehr plumper Versuch. Man täuscht ein sicheres Postfach durch das Wort “sicher” vor und als Domain “deutsche-postfach.com”.
  • Anrede: Im Betreff steht “Du” im Text “Sie”. Bei Banken ist es in Deutschland vor allem “Sie”.
  • Anzahl der angeblichen Nachrichten: Im Betreff steht 3 und in der E-Mail stehen zwei.
  • Fehlender Footer: In der Regel kommt am Schluss einer E-Mail noch etwas wie “Mit freundlichen Grüßen” und das Impressum der Bank samt Kontaktdaten (vielen Dank an einen anonymen Teilnehmer meiner Schulung für den Hinweis!)
  • Button Link: hxxp://visualizefaith.com/r (nicht klicken) — Hat keinerlei Bezug zum hier genannten Kreditinstitut. Definitiv ist das keine echte E-Mail einer Bank.
  • Weiterleitung (bitte nicht mit Windowssystemen prüfen): hxxps://secure.deutsche-bank.de.ahlatienerji.com.tr — Ja hier steht “deutsche-bank.de”, aber die eigentliche Domain (Webseite) ist ahlatienerji.com.tr, während secure.deutsche-bank.de nur die sogenannte Subdomain ist, wie man dies sonst kennt wie www.andrefritsche.de.
  • Kontext: Ich habe kein Konto bei dieser Bank, von daher ist die Mail für mich irrelevant.

Wenn ich mir nicht sicher bin?

Die E-Mails sollte man nicht ignorieren, schließlich könnte eine Zahlung blockiert sein, aber den Links sollte man nicht vertrauen. Manchmal ist auch der Link zu einem Dokument dabei: Deshalb ist mein Rat immer folgender:

Den Links in der E-Mail nicht trauen. Manuell auf die Webseite wechseln und prüfen, ob wirklich das passiert ist, was die Mail suggeriert.

Das gilt unabhängig vom Absender und der Plattform wie etwa Banken, Bezahldienste (wie Paypal) oder Online Shops. Nur so wird vermieden, dass auf einen Link innerhalb einer E-Mail geklickt wird.

Was gibt es da draußen noch?

Phishing ist nur eine Form des Social Engineerings. Angreifer wollen uns ständig dazu verleiten etwas zu tun, oder Informationen preiszugeben. Dabei appellieren sie immer wieder an unsere Grundbedürfnisse, aber auch an unsere Neugier.

Was gibt es noch?

  • Smishing: Wie Phishing, aber basierend auf SMS
  • Vishing: Telefonanrufe mit netten Geschichten zu Problemen und nur der angerufene kann jetzt, sofort helfen.
  • Scareware: Trojaner, die den Rechner sperren und folgendes zeigen: “Auf ihrem Rechner wurden illegale Inhalte gefunden, wir haben den Rechner gesperrt. Bitte zahlen Sie 1000 Euro hier ein, damit Sie weiter arbeiten können.”
  • Baiting: Herrenlose USB Sticks wecken die Neugier darüber welche Daten dort wohl schlummern könnten.
  • Whailing: Gezieltes Phishing auf C-Level Executive Rollen in Unternehmen
  • CEO Fraud: Wenn der Geschäftsführer angeblich eine Zahlung durchführen lassen will von der keiner sonst etwas mitbekommen darf.

--

--

--

IT Sicherheit ist meist so komplex, dass im Business Alltag keine Zeit bleibt, sich damit im Detail zu befassen. Diese Publication ist für die gedacht, die sich darauf verlassen, dass sie einen kurzen Abriss zu aktuellen Bedrohungen erhalten, den sie auch verstehen.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Andre Fritsche

Andre Fritsche

More from Medium

Hey, Siri, Shuffle Christmas Songs by Pentatonix | Wed Dec 22, 2021

From the Editor: February Issue. Real estate trends, repurposing education for the job market…

Novel Interactions

This Mavs roster is talent-poor, asset-poor, and entirely replaceable