Petri Heil: Mit Phishing-Mails auf Dummen-Fang

Kein Hoax und damit gar nicht witzig: E-Mails mit gefälschten Absendern, die vorgeblich von Banken oder anderen seriösen Unternehmen – wie beispielsweise Ebay – stammen und sich unter fadenscheinigen Vorwänden Zugangsdaten zu Online-Banking-Accounts und Bezahlsystemen zu erschleichen versuchen. Neudeutsch nennt man diese Art des Angelns nach fremden Daten “Phishing”.

Im Sommer 2004 scheint diese Art des Betrugs Hochkonjunktur zu haben.
Die Typische Phishing-Mail sieht etwa so aus:

Bild
"Lieber Kunde,
Da die technische Abteilung unserer Bank im Moment die Software updatet, bitten wir Sie freundlich darum, dem unten angegebenen Link zu folgen und Ihre Daten dort zu bestätigen.
Ansonsten wird Ihr Zugang zum System gesperrt.

Wir Danken Ihnen für Ihre Kooperation.

Bitte beantworten Sie diese Nachricht nicht sondern folgen Sie den obigen Anweisungen”
(URL inzwischen deaktiviert)

Nun werden wenige deutschsprachige Internet-Nutzer auf gerade diese Mail hereinfallen, weil die US-Bank nicht allzu viele Kunden in diesem Sprachkreis haben dürfte. Trotzdem bildet sie ein gutes Beispiel.

Selbstverständlich versendet keine Bank solche E-Mails. Niemand, der es ehrlich mit Ihnen meint, wird sie jemals nach PIN- oder TAN-Nummer fragen. Leider machen es manche E-Mail Programme und Sicherheitslücken von Browsern den Phishern nur allzu leicht. So ist es sogar kein Problem, dem Benutzer des meistverwendeten Browsers – nämlich dem MS Internet Explorer – soweit dieser nicht höchst regelmäßig geeignete Sicherheits-Updates für die Software installiert, gefälschte URLs anzuzeigen. In unserem Beispiel hieße das: Stellen Sie sich vor, sie seien US-Bank-Kunde und klickten auf den angegebenen Link. über diesen werden Sie natürlich nicht zu Ihrer Bank, sondern auf eine Seite des Verfassers der Phishing-E-Mail geleitet, die der Website der Bank täuschend echt nachempfunden hat. Und, oh Schreck: Sogar Ihr Browser zeigt eine URL an, die aussieht, als wäre dies wirklich eine “offizielle” Seite.

HTML-E-Mails machen es Betrügern noch leichter
Noch leichteres Spiel haben Betrüger, die sie um Ihr Geld bringen möchten, wenn Sie in Ihrem E-Mail Programm HTML-Emails anzeigen lassenn. Denn dort kann man ihnen praktisch alles vorspiegeln – wie auch das folgende Beispiel zeigt:

Bild
Lieber EBay-User,
Während unserer regelmäßigen Benutzerkonten-Wartung konnten wir Ihre aktuellen Benutzerinformationen nicht verifizieren. Entweder sind Ihre Informationen falsch oder unvollständig.
Bitte aktualisieren Sie Ihre Informationen mit dem Formular, dass sie über den Link erreichen. Sollten Sie Ihre Informationen nicht innerhalb von fünf Tagen akualisiert haben, wird Ihr Zugriff auf die Bieten- und Kaufen-Funktionen von ebay begrenzt.

Obwohl der Link, unter dem der “Kunde” hier seine Ebay-Zugangsdaten eingeben soll, anscheinend auf eine Ebay-Seite zeigt, kommen Sie selbstverständlich auf die Site des Phishers, der sie um Ihre Daten bringen will. Die Site “hinter” dem Link hat nichts mit der hier angezeigten URL zu tun.

Eine einfache Checkliste
Es ist nicht schwer, nicht auf “Phisher” hereinzufallen – Aber ebenso leicht ist es, Phishing-E-Mails zu erkennen.

Sollte eine E-Mail

    • Sie bitten, persönliche Informationen wie Kreditkartennummern, PINs, TANS oder Benutzerdaten und Passwörter einzugeben,
    • Behaupten, Sie käme von einer seriösen Firma – etwa: Banken, ebay
    • gleichzeitig aber von Rückfragen abraten

Dann tun sie auf gar keinen Fall das, um was sie in der E-Mail gebeten werden.

unter keinen denkbaren Umständen wird ein seriöses Unternehmen sie auf diese Weise um die Eingabe vertraulichen Informationen fragen.

Weitere Informationen zu Phishing-E-Mails gibt es in einem Extrablatt von www.hoax-info.de.