Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Gefälschte Bank-E-Mails bleiben oft unerkannt

Freitag, 17. Mai 2024, 16:54 Uhr

Keine Spam, sondern ein Hinweis auf einen im Kontext der Spam interessanten Artikel auf der Website der ARD-Tagesschau [Archivversion, denn der Tagesschauartikel wird leider wieder depubliziert]:

Eine Phishing-Mail von einer echten Mail der Bank zu unterscheiden, fällt vielen schwer. Das zeigt eine aktuelle Studie von Verbraucherschützern. Die Opfer bleiben nicht selten auf den Kosten sitzen […] äußerten nur 57 Prozent der Befragten bei den Phishing-Mails einen Betrugsverdacht. 38 Prozent witterten aber auch bei echten Mails einen Betrug. „Die Maschen von Cyberkriminellen werden immer besser“

Ich habe hier schon in den Zeiten, in denen die meisten Phishingspams noch so schlecht waren, dass ein Mensch durchschnittlicher Intelligenz sofort das Phishing erkennen konnte, darauf hingewiesen, dass es nicht so bleiben wird. Und in der Tat: Phishing ist eine Konstante im täglichen Pesteingang geblieben, und die Spams wurden im Laufe der Zeit immer besser. Rechtschreibfehler sind selten geworden, und die Formulierungen sind insgesamt glatter geworden. Dass das passieren würde, war auch klar, denn die Betrüger sind darauf angewiesen, dass ihren Lügen Glauben geschenkt wird. Sie leben davon. Und sie wollen auch weiterhin davon leben, nachdem alle Naiven zu gebrannten Kindern geworden sind. Sonst müssten sie ja noch mit dem Arbeiten anfangen.

So lange Unternehmen sich weigern, digital signierte E-Mail zu versenden, deren Signatur der Empfänger überprüfen könnte, um die Identität des Absenders und die Integrität des Mailinhaltes jenseits jedes vernünftigen Zweifels sicherstellen zu können, so lange sind alle Menschen dem Phishing mehr oder minder wehrlos ausgeliefert. Das ist traurig, denn digitale Signatur von E-Mail steht seit über dreißig Jahren zur Verfügung, und schon sehr lange in Form von ausgereifter, gut entfehlerter und Freier Software, die nicht einmal Geld kostet und einfach genutzt werden kann.

Sicher, man kann sich den Quelltext einer unsignierten Mail anschauen, man kann die Header lesen (was beides schon über normale Anwenderkenntnisse hinausgeht, obwohl es nicht schwierig ist), man kann auch schauen, wohin die Links in der Mail führen (wobei die Betrüger gern mit vorsätzlich irreführenden Subdomains arbeiten) und sich anschauen, aus welchen Domains extern referenzierte Grafiken in HTML-Mail eingebettet wurden, um herauszubekommen, ob eine Mail möglicherweise echt oder ein Betrugsversuch eines Kriminellen ist. Aber nichts davon ist aus Anwendersicht so einfach und zuverlässig wie das Überprüfen einer digitalen Signatur. Aber genau diese eine einfache und sichere Methode wird den Menschen vorenthalten, wenn Banken und andere Unternehmen die Mail an ihre Kunden nicht digital signieren. Und zwar von den Banken und anderen Unternehmen. Nach über dreißig Jahren darf man meiner bescheidenen Meinung nach noch ergänzen: Und das geschieht vorsätzlich. Das ist bei Unternehmen, die ihr Geschäftsmodell immer weitergehend internetbasiert vorantreiben und ansonsten keinen Aufwand scheuen, keine Fahrlässigkeit mehr. Sie müssen wissen, was sie durch Unterlassung tun und welche Schäden sie damit bei anderen Menschen, ja, bei ihren Kunden unnötigerweise inkauf nehmen. Sie bekommen die Folgen ja unmittelbar mit. Jeden verdammten Tag. Es stört dort nicht weiter, es wird dort als ein „Problem anderer Leute“ betrachtet.

Ich wiederhole aus meinem Tagesschau-Zitat zum Eingang noch einmal einen Satz, der jetzt vielleicht schon wieder vergessen ist, damit er auch ja nicht vergessen wird:

Die Opfer bleiben nicht selten auf den Kosten sitzen

Mit Stable Diffusion generiertes BildEs können übrigens auch mal fünfstellige Beträge werden, für die ein Mensch ganz schön lange buckeln und knechten muss, um sie zu erarbeiten. Das tut weh. Jeder Mensch könnte mit diesem Geld etwas besseres anfangen, als den verfeinerten Lebensstil von Kriminellen zu finanzieren. Die Betrüger mit ihrem Phishing sind zweifellos Verbrecher, aber die Unternehmen, die es ihnen unnötig leicht machen, sind nicht weniger als die Grundlage dieses Verbrechens. Das gilt auch für ihre Bank, ihr bevorzugtes Shoppingportal und für ihren Einzelhändler. Die sind daran schuld, gar nicht so sehr anders, wie es ein Autohersteller wäre, der vorsätzlich Fahrzeuge ohne zuverlässig funktionierende Bremse verkaufte. Leider wäre zurzeit nur der Autohersteller haftbar. Die Unternehmen, die sich aus überhaupt nicht nachvollziehbaren Gründen weigern, ihre geschäftliche E-Mail digital zu signieren, verbuchen ihre marginalen Ersparnisse als Gewinn und lasten die Folgen und Kosten dieses Gewinnes ihren Kunden auf. Erfreulich straffrei. Also für die Unternehmen erfreulich. Für die Mehrzahl der Menschen leider nicht. Ja, es ist deprimierend. Aber es ist so. Und es ist politischer Wille, dass es so ist. Offenbar parteiübergreifender politischer Wille, denn das Problem besteht ja nicht erst seit gestern. Jede Bundesregierung hatte eine Möglichkeit gehabt, hier steuernd einzugreifen, wenn dazu nur ein politischer Wille bestanden hätte. Hat aber nicht. Es gab immer Wichtigeres. Wir haben jetzt ja eine Cyberwehr.

So lange sich das nicht ändert – wer in dieser Bundesregierung ist eigentlich für den so genannten „Verbraucherschutz“ zuständig, man hört von dieser Person ja gar nichts – bleibt uns allen nur die Selbsthilfe in diesen politisch und wirtschaftlich geschaffenen Zuständen, die schon längst vorsätzlich geschaffene Zustände sind. Leider gibt der Journalismus, weder bei der Tagesschau, noch in anderen journalistischen Medien, dafür eine lebenspraktisch wichtige Handhabe.

Deshalb mache ich das hier und fordere alle Menschen dazu auf, immer und unter allen Umständen jede E-Mail als gefährlich zu betrachten. Insbesondere gilt: Niemals in eine E-Mail klicken! Wenn man nicht in eine E-Mail klickt, kann einem kein Verbrecher einen giftigen, irreführenden Link unterschieben. Stattdessen einfach für alle regelmäßig besuchten Websites ein Lesezeichen im Webbrowser anlegen. Wenn eine Mail ankommt, die dazu auffordert, dass man tätig werden solle, damit man klickt oder einen Anhang öffnet, auf gar keinen Fall in die Mail klicken. Stattdessen einfach die Website über das Lesezeichen im Browser aufmachen, und sich dort ganz normal und wie gewohnt anmelden. Wenn man danach keinen Hinweis sieht, dass man jetzt ganz schnell tätig werden muss, war die E-Mail eine Phishingspam und man hat einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Es ist übrigens auch sehr wirksam, im Gegensatz zu allerlei Schlangenöl für die „gefühlte Sicherheit“. Also: Macht das! 🛡️

Und es ist nicht nur einfach, sondern auch völlig ohne Komfortverlust, denn in beiden Fällen muss man ja nur klicken. 🖱️

Aber auf gar keinen Fall in die Mail klicken! Jeder Klick in eine Mail ist gefährlich, wenn man sich nicht über eine andere Quelle davon überzeugt hat (zum Beispiel durch einen kurzen Anruf oder durch die Anmeldung auf der Website des angeblichen Absenders), dass sie wirklich vom scheinbaren Absender stammt. 🚫️

Sollen die Phisher doch verhungern, wenn ihr Betrug nicht mehr läuft!

Ich vermisse sie nicht.

5 Kommentare für Gefälschte Bank-E-Mails bleiben oft unerkannt

  1. orinoco sagt:

    Ich hab einen einzigen(!) Firmenkontakt, der mir unaufgefordert signierte Mails schickt. Und ich hab nicht wenige Firmenkontakte. Und es ist kein großes Unternehmen sondern eher klein, aber in der IT-Branche tätig.

  2. Herr B. sagt:

    man kann sich den Quelltext einer unsignierten Mail anschauen, man kann die Header lesen

    Ich bin mir gar nicht sicher, ob das auch auf dem Schmartfone geht – und wenn ja, ob sich irgendwer die Mühe macht.
    Gelobt sei der Donnervogel, der auch die derzeitig wieder ansteigende Spamflut prompt und sauber auskehrt.

    • […] das auch auf dem Schmartfone […]

      Mein Mitleid mit Menschen, die ihre Fernkontoführung in einer Softwareumgebung machen, die von einer derartig kaputten Kultur geprägt ist, dass praktisch jede App ein Trojaner mit unerwünschten Schadfunktionen aller Art ist, ist sehr klein. Da kann man sein Geld auch zum freien Download ins Internet stellen… 😁

      Ich habe schon immer von Wischofonen abgeraten. Nicht einmal zu Unterhaltungszwecken würde ich so etwas benutzen. Von daher weiß ich noch nicht einmal, ob es dort gute Mailsoftware gibt. Vermutlich gibt es die. Aber bestimmt nicht von Google.

      Ohne Thunderbird würde ich in den täglichen Fluten ersticken.

    • P.C.User sagt:

      Es gibt da „K-9 Mail“ (benannt nach Doktor Who’s Roboterhund in Anlehnung an „mutt“) für den kleinen Taschen-Roboter, wird neuerdings zusammen mit den TB-Entwicklern gepflegt. Man kann zwar nicht den ganzen Quelltext oder die Nachrichten als Nur-Text ansehen; aber immerhin die Kopfzeilen. War ja eigentlich für „nur mal schnell unterwegs“ gemeint. Mit OpenKeychain geht sogar Signieren und Verschlüsseln. FairEmail wäre vermutlich eine Alternative, habe ich mir aber (noch?) nicht angesehen.

      Zugegeben, abgesehen von LineageOS und ein paar Alternativen ist der Benutzer nicht unumschränkter Administrator auf einem aktuellen „Wischofon“, aber mit einigem Aufwand kann man die Datensammelei in Grenzen halten und die Kommunikation fast auf das gewünschte Maß beschränken (ist wirklich mühsam und zeitaufwendig). Ohne Firefox mit uBlockOrigin im restriktiven Modus würde ich keine Webseite mehr aufrufen, und als ‚apps‘ bezeichnete (angepaßte und schlechter gepflegte) Browser meide ich…

      Ist ja auch nicht so, als könne jeder „Normal-Benutzer“ bei einem Desktop-Betriebssystem überblicken, was jede mögliche Einstellung bewirkt, welche man ‚anfaßt‘, und welche besser nicht. (Auch wenn das System mit U oder L anfängt, ist es heute viel zu groß und entwickelt sich zu schnell, als daß es „jeder“ sicher betreiben könnte, besonders ohne ein Mindestmaß an Computerkenntnis und die Bereitschaft, Handbücher, Anleitungen und Foren zu studieren 😉

  3. P.C. User sagt:

    Leider scheint zur ‚Kultur‘ großer Unternehmen – abgesehen von der fehlenden Bereitschaft zu einer verläßlichen Signatur- und Verschlüsselungs-Infrastruktur – auch zu gehören, daß eMails genau diesem Muster folgen – mit Tracking verseuchte Links zu Fremdseiten, „Ansehen im Browser“, eher inhaltslose Phrasen mit Schlagwörtern gewürzt, oder in fernen Landen von Leuten verfaßt, die Deutsch nicht mal in der Schule gelernt haben… Eigentlich wundert es mich, daß in der Studie nur ein Drittel der „echten“ Nachrichten als verdächtig angesehen wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert