Und heute mal ein Phishing, das nicht auf Bankdaten aus ist, sondern auf die meist relativ kleinen Beträge für Werbeeinblendungen, mit denen sich viele Websitebetreiber ihre Projekte finanzieren wollen.
Die Mail von info (at) adwords-google.com (natürlich ist dieser Absender gefälscht) liest sich so:
Dear Google AdWords Customer,
During our regular database verification process, we were unable to verify your account information.
Das ist wieder einmal „ganz großes Kino“ bei einem Phishing-Versuch. Kein Name, keine Kundennummer, keine persönliche Ansprache, aber ein technokratisches Gefasel von irgendwelchen Problemen bei der Überprüfung der Datenbank. Wer ein bisschen unerfahren ist, fällt vielleicht sogar darauf rein.
This might be due to one or more of the following reasons:
Und jetzt auch noch ein paar tolle Erklärungen dazu, damit der hohlen Phrase ein bisschen mehr Glauben geschenkt wird.
1. A recent change in your personal information (i.e. change of address)
Ah ja, Google gleicht also die angegebenen Adressen mit den Meldebehörden ab. Denn wenn man Google eine neue Adresse angegeben hätte, denn wüsste Google die neue Adresse schon. Aber hier geht der kriminelle Phisher wohl davon aus, dass immer mehr Menschen der Datenkrake Google so ziemlich alles zutrauen.
2. Submitting invalid information during initial enrollment process.
Und weil das mit dem Umzug nur eine Minderheit betrifft, wird einfach etwas von der Übermittlung ungültiger Informationen fabuliert, ohne dass dazu auch nur ein kleiner Anhaltspunkt gegeben würde, um was es sich dabei handelt.
3. Inability to accurately verify you account information due to an internal error within or database management system.
Und im Zweifelsfall kann es noch ein technisches Versagen im Google-Rechenzentrum gewesen sein. Das klingt auch „sehr glaubwürdig“, vor allem, wenn es so nebulös und unbestimmt gelassen wird.
Jetzt aber zur Hauptsache:
We would require login in to your Google AdWords so that we can verify that you are the rightful owner of the account. All you nedd to do is go to Google AdWords and enter your username and password:
Schließlich soll man den Verbrechern seine Anmeldedaten zur Verfügung stellen, damit diese Verbrecher sich hinterher die Schecks für die Klickercents aus der Reklame unterm Nagel reißen können. Und damit das funktioniert, noch schnell ein Link:
Natürlich handelt es sich um eine HTML-Mail, und die als Text angegebene URL ist mit einer völlig anderen Internetadresse verlinkt. Diese liegt natürlich nicht bei google.com, sondern auf einem viel weniger Vertrauen erweckenden Server ottoggi.co.kr – dort sieht das arme Opfer dann eine Login-Seite, die so aussieht, als käme sie von Google. Klar, dass die dort eingegebene Kombination aus Username und Passwort nicht an Google, sondern direkt in die Datenbank von schäbigen Betrügern geht.
Wer trotz der Durchsichtigkeit dieser primitiven Masche darauf reingefallen ist, sollte sofort Kontakt zu Google aufnehmen, damit dort eventuelle Manipulationen des Accounts rückgängig gemacht werden, bevor ein Schaden entsteht – und eine Strafanzeige wegen Betruges erstatten.
Dass Google mit dieser Mail nichts zu tun hat, sollte klar sein. Ganz im Gegenteil, man wird dort in den nächsten Tagen viel Arbeit wegen dieser Sache haben. Da wirkt die drangeklatschte „Unterschrift“…
Thank you for using Google AdWords,
We appreciate your business and the opportunity to serve you.
Google AdWords Service
…mehr als nur ein bisschen zynisch.
Wichtige Hinweise zum Thema Phishing: Der beste Schutz vor dieser Form des Betruges ist immer noch die Verwendung des eigenen Kopfes. Die Kriminellen, die auf diese Weise betrügen wollen, können ihre Opfer nicht persönlich ansprechen, weder mit einer Kundennummer noch mit einem Namen. Es handelt sich um millionenfach und wahllos versendete Spam; um Schrotmunition, bei der die Betrüger auf einige Zufallstreffer bei weniger erfahrenen Internetnutzern vertrauen. Jeder Unternehmer im Internet (und natürlich auch jede Bank) wird seine Kunden persönlich ansprechen. Deshalb ist es an sich sehr leicht, Phishing zu erkennen, wenn man beim Lesen seiner Mail einen klaren Verstand behält und sich nicht von möglichen finanziellen Verlusten wegen technischer Probleme oder einer „Sicherheitsprüfung“ ins Bockshorn jagen lässt.
Selbst, wenn eine solche Mail einmal völlig echt und überzeugend wirkt und mit einer persönlichen Ansprache kommt: Niemals einen Link in einer Mail anklicken, wenn es um Geld, Bestellungen, Mailaccounts oder Geschäfte aller Art geht. Manchmal kommen kriminelle Spammer an persönliche Daten. Zurzeit sind solche personalisierten Attacken noch selten, aber das könnte sich schon in naher Zukunft ändern. Daten aller Art werden auf einem stetig wachsenden Schwarzmarkt gehandelt, und es ist so gut wie sicher, dass die Verbrecher der Spam-Mafia sich bereits für die nächsten Phishing-Attacken ausgestattet haben. Immer die Internet-Adresse des jeweilgen Dienstes direkt in den Browser eingeben, und dabei auch nicht auf die leicht manipulierbare Lesezeichen-Funktion (IE-User lesen hier: Favoriten) des Browsers zurückgreifen. Selbst das schafft keine abschließende Sicherheit, wenn etwa die hosts-Datei des Rechners manipuliert wurde – um dies zu erschweren, sollte gängige Internet-Software (Browser, Mailclient, IM-Client etc.) niemals mit einer Benutzeranmeldung verwendet werden, die administrative Rechte am Computer hat. Diese sehr einfachen Maßnahmen schaffen zwar – genau so wie etwa ein Türschloss, das man abschließt, wenn man die Wohnung verlässt – keine vollkommene Sicherheit, aber sie erschweren den Kriminellen ihr hinterhältiges Handwerk.
Wenn der Stil der Mail eines Geschäftspartners einmal nur ein wenig vom gewohnten Stil abweichen sollte, immer eine nach Möglichkeit telefonische Rückfrage machen – vor allem, wenn zusätzlich aus obskuren Gründen zu irgendwelchen Logins aufgerufen wird. Jeder Anbieter, der das Internet zu seiner Geschäftsgrundlage gemacht hat, kennt das Problem des Phishings und wird deshalb volles Verständnis für eine solche, gar nicht übertriebene, Vorsicht haben.
