Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Phishing“

Für Phishing-Opfer

Freitag, 4. Juli 2008

Wer auf eine Phishing-Masche oder einen vergleichbaren Computerbetrug hereingefallen ist und sich dabei nicht vollkommen dumm angestellt hat, der hat nach einem aktuellen (allerdings noch nicht rechtskräftigen) Urteil des Amtsgerichtes Wiesloch gute Chancen, nicht auf seinem Schaden sitzen zu bleiben. Die Bank kann in vollem Umfang für den Schaden haftbar gemacht werden, wenn der Betrug über eine gefälschte Online-Überweisung oder manipuliertes Online-Banking erfolgte und der Bankkunde beim Betrieb seines Rechners „durchschnittlichen“ Anforderungen an die Sorgfalt Genüge tat.

Obwohl sich in diesem Einzelfall 14 verschiedene Schadprogramme auf dem Computer des Bankkunden befanden, müsse die Bank für den entstandenen Schaden aufkommen, weil…

  1. keine Pflichtverletzung des Kunden bestehe, da er den Anforderungen an die Sorgfalt beim Absichern seines Rechners genügte. Denn von einem Kunden sei nur das zum Betrieb des Mediums erforderliche Wissen und damit eine irgendwie geartete Absicherung des Computers zu erwarten, während eine besonders ausgefeilte Form der Absicherung gegen solche kriminellen Angriffe gar nicht erforderlich ist.
  2. …das Online-Banking auch im Interesse der Bank liege (wegen der Kostensenkung auf Seiten des Bankhauses), die mit dem Kunden keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart hat.
  3. …die Bank grundsätzlich das Fälschungsrisiko bei einem Überweisungsauftrag trage.

Als „durchschnittliche“ Anforderung an die Sorgfalt wertete es das Gericht, dass der Kunde die Installation eines Antivirus-Programmes nachweisen konnte – wobei von Seiten des Gerichts sogar eingeräumt wurde, dass dieser Schritt die durchschnittliche Anforderung möglicherweise noch übertreffe. (Natürlich liegt die spezielle Auslegung dieser Anmerkung im Einzelfall beim jeweiligen Gericht.) Die Frage der regelmäßigen Aktualisierung der Signaturen des Antivirus-Programmes wurde in der Begründung des Urteiles völlig offen gelassen. Nicht verpflichtend sei es allerdings für den Kunden gewesen, eine Firewall zu installieren.

Kurz zusammengefasst: Wer sein Betriebssystem und seinen Browser auf dem neuesten Stand hält, die aktuellen Sicherheitsupdates einspielt (oder den entsprechenden Automatismus seines Systemes verwendet) und eine Software zum Schutz gegen Schadprogramme installiert hat, würde auf der Grundlage dieses Urteils einen Phishing-Schaden von seiner Bank stets erstattet bekommen.

Auf dem Hintergrund dieses Urteiles sollten viele Opfer gängiger Betrugsmaschen eine Chance haben, zumindest ihren finanziellen Schaden von der Bank erstattet zu bekommen – so dass „nur“ die weiteren Schäden durch die Preisgabe persönlicher Daten an organisierte Kriminelle bestehen bleiben. Alles weitere wird Ihnen der Anwalt ihres Vertrauens erzählen, wenn sie selbst zum Opfer geworden sind und Ihre Bank nicht zahlen will.

Das verstehe aber bitte niemand als Aufforderung zum völlig sorglosen Umgang mit dem Internet, denn…

  1. …es ist nicht klar, wie das blinde Vertrauen in eine Phishing-Mail, der Klick auf einen Link und die Preisgabe von vertraulichen Informationen auf einer gefälschten Seite im Internet von einem Gericht beurteilt würde. Vermutlich würde hier allerdings der Standpunkt eingenommen, dass zumindest eine Mitschuld des Opfers vorliege, wenn die URL im Browserfenster nicht geprüft wurde und wenn die ganze Vorgehensweise nicht gerade mit einer außerordentlichen und damit für das Opfer kaum durchschaubaren Perfidie durchgeführt wird.
  2. …neben dem finanziellen Schaden sind weitere Schäden möglich, wenn der eigene Rechner als Spamschleuder oder zum Austausch illegaler Inhalte verwendet wird und wenn persönliche Beziehungen für schwer kriminelle Zeitgenossen offen gelegt werden.
  3. …die so von der Bank erstatteten Schäden werden über kurz oder lang von der Bank wieder reingeholt, indem sie den zusätzlichen Kostenfaktor über Gebühren für ihre Leistungen und über gesteigerte Zinssätze für Darlehen auf die Gesamtheit ihrer Kunden abwälzen wird. Aus der Unvorsicht einiger Computernutzer wird damit ein Schaden für alle Menschen, die der Dienste einer Bank bedürfen. Und wer zählte nicht dazu?
  4. …in vielen Fällen wird eine eventuelle Regresspflicht der Bank und ihr Umfang erst in einem Rechtsstreit festgestellt werden, der auch mit einem persönlichen Kostenrisiko verbunden ist, das nicht jeder tragen kann oder will. Von daher ist es gut möglich, dass Banken in vielen Fällen eine für den betrogenen Kunden eher nachteilhafte außergerichtliche Einigung mit Übernahme eines Teilbetrages der Schadenssumme anbieten werden, um weitere Kosten aus der gegenwärtigen Rechtsauffassung zu vermeiden.

Es gilt also – trotz dieser scheinbar günstigen Rechtslage – es gar nicht erst so weit kommen zu lassen, dass man seinen Computer den Verbrechern zur freien Nutzung übergibt. Das ist auch nicht schwierig. Die Grundregel ist sogar sehr einfach: Spam erkennen, Spam im Maileingang unbeachtet löschen, niemals auf einen Link in einer Spam klicken, niemals eine über Spam (auch Spamkommentare in Foren, Gästebüchern oder Weblogs) verlinkte Website ansurfen! Egal, wie attraktiv das Angebot dort auch aussehen mag. Egal, wie harmlos das Angebot dort auch aussehen mag. Egal, wie nützlich das Angebot dort auch aussehen mag. Jede Spam ist illegal und zudem asozial, mit Spammern wird man keinen Spaß haben und keine Geschäfte machen können. Aber man kommt schnell an einen ernsthaften und schmerzhaften Schaden.

Wer es schafft, Spam sicher zu erkennen und stets zu ignorieren, der kann kaum noch zum Opfer eines gängigen Betruges werden. Das ist – unter dem Gesichtspunkt der Sicherheit am Computer – fast noch wichtiger als die Verwendung von Antiviren-Programmen, die mit ihren Erkennungen sowieso immer zwei bis drei Tage hinter den neuesten Entwicklungen der Verbrecher hinterherhinken. Keine auf dem Computer installierte Software kann den Verstand des Menschen vor dem Computer ersetzen, es handelt sich immer nur um eine Ergänzung.

Zu hoffen bleibt jetzt allerdings, dass die Banken das Thema „Phishing“ nicht mehr auf die leichte Schulter nehmen, sondern im eigenen Interesse für eine umfassende und allgemein verständliche Aufklärung ihrer Kunden sorgen. Solche Bemühungen waren bislang leider nicht sichtbar, obwohl sie wohl so manchen Schaden verhindert hätten. Vielleicht wird es unter der neuen Rechtslage sogar einigen Banken endlich möglich, ihre Websites zum Online-Banking in einer Weise zu gestalten, die auch mit weniger angreifbaren Betriebssystemen und restriktiv konfigurierten Browsern verwendbar ist.

Capital One TowerNet

Mittwoch, 2. Juli 2008

So hieß der angebliche, gewerbliche Absender einer Mail, die mich als Kunden begrüßte. Allerdings handelt es sich hier „nur“ um die neueste Phishing-Welle, mehr nicht…

Dear Capital One TowerNET customer,

Security and confidentiality are at the heart of the Capital One. Your details (and your money) is protected by a number of technologies, including Secure Sockets Layer (SSL) encryption.

Na, denn ist ja alles in Ordnung. Wieso müsst ihr so etwas schreiben?

We would like to notify you that Capital One Commercial carries out customer details confirmation procedure that is compulsory for all Capital One Commercial customers. This procedure is attributed to a routine banking software update.

Und was hat es mit dem SSL zu tun, wenn ich mich anmelden soll? Nichts! Einfach nur ein bisschen Blah, um unerfahrene Netzuser dazu zu bringen, dass sie ihre Zugangsdaten an Verbrecher geben.

Please login to Capital One TowerNET using the link below and follow the instructions on the screen.

http://towernet7.capitalonebank.com[…]

Und ganz wichtig: Bloß den Link aus einer Mail nehmen, die zwar wahnsinnig viel von Sicherheit gefaselt hat, aber dafür nicht einmal digital signiert ist! Aber wer völlig unerfahren ist, glaubt das und klickt auf eine URL, die scheinbar die Domain der eigenen Bank ist. Aber nur scheinbar, denn diese Mail ist in HTML formatiert und der Link führt auf einen anderen Server. Dort bekommt man eine liebevoll nachgemachte Website zu sehen, die vorgibt, dass man sich bei seiner Bank anmelden könne. Kann man aber nicht. Stattdessen gibt man einen Satz Anmeldedaten an organisierte Kriminelle, die gewiss eine Verwendung dafür haben, die einem nicht gefallen kann.

Ich habe den überlangen Link in diesem Zitat gekürzt, der sicherlich recht überzeugend den typischen URLs dieses Bankhauses nachgestaltet war. Nur soviel: Er führte auf den Server web376.com…

Zahlensalat

Samstag, 1. März 2008

Natürlich gibt es auch schlechte Phishing-Versuche:

Dear CitiBusiness customer,

CitiBusiness new Scheduled Maintenance Program protects your data from unauthorized access. CitiBusiness Online Form is important addition to our scheduled maintenance program.

Please use the link below to access CitiBusiness Online Form:

CitiBusiness Online Form

Please do not reply to this auto-generated email. Follow instructions above.

Klar, dass man einer automatisch erzeugten Mail mit gefälschtem Absender besser nicht antworten sollte. Die „Citibank“, die es hier mal wieder nicht schafft, ihre Kunden mit Namen anzusprechen, „sie“ hat „ihre“ Server übrigens in Hongkong stehen und betreibt diese unter der doch etwas unerwarteten Domain losao.hk – ist das vielleicht das chinesische Wort für Betrüger?

Aber dieser hingestümperte Standardtext des versuchten Massenbetruges ist es ja gar nicht, was mich zum Bloggen über diese Spam reizt. Sondern es ist das, was auf diesen Standardtext folgt. Ich will den schmackhaften Salat aus kryptischen Angaben und sedezimal angegebenen Zahlen auch gern zum breiten Genuss in voller Länge wiedergeben:

4658: 0×4355, 0×9, 0×03858855, 0×8158, 0×92, 0×72351800, 0×57754503 V5Y, UP5, B5KT 0×467, 0×006, 0×99, 0×087, 0×0, 0×8590, 0×760, 0×9, 0×885, 0×86080986, 0×0, 0×5, 0×5080, 0×71849779 0199078393359163369847134953821053 V57C: 0×43591432, 0×817, 0×68958204 hex: 0×87, 0×39, 0×18, 0×11502228, 0×8565, 0×351, 0×2, 0×273 0×3399, 0×1536 B24: 0×0345 0×4207 revision: 0×5499, 0×52, 0×1

interface: 0×63, 0×435, 0×5 engine: 0×61, 0×07, 0×32, 0×3, 0×543, 0×65, 0×2251, 0×31, 0×8, 0×5755 0×7026 92O, start, U1M dec: 0×78134326, 0×60, 0×1, 0×911, 0×36289965, 0×3730, 0×5033 96374095 0×83422530, 0×8, 0×06400223 update 5V5A VFG source WO4 interface WWW revision close. rcs: 0×187, 0×3529, 0×2, 0×4505, 0×6346, 0×0358, 0×2, 0×87, 0×28168126, 0×64096243, 0×844, 0×09, 0×60, 0×49768559, 0×5 end: 0×95, 0×484, 0×53, 0×5173 engine: 0×8, 0×22, 0×226, 0×22004691, 0×3, 0×68, 0×93026189, 0×694, 0×30105398, 0×54, 0×3615

close: 0×80, 0×49761424 source: 0×95, 0×88, 0×4278, 0×1843, 0×03109387, 0×2333, 0×0, 0×98869339, 0×1130, 0×44839216, 0×5, 0×2, 0×04, 0×80077138, 0×6 0×8879, 0×0, 0×81271337, 0×406, 0×53, 0×0, 0×623, 0×4742, 0×4613, 0×15, 0×41, 0×1346, 0×55 0×6291, 0×2155, 0×6, 0×7442, 0×93, 0×04601259, 0×5839 IHK, IHRO, source. 0×13, 0×970, 0×65, 0×93, 0×6605, 0×6, 0×3, 0×10 0×50160842, 0×93, 0×102, 0×3, 0×90, 0×061, 0×0, 0×2, 0×80729173, 0×556, 0×5382, 0×9605, 0×3602, 0×17, 0×66514174 0×4, 0×35, 0×477, 0×9 XX94 update PK0 exe engine DUN revision cvs: 0×8, 0×16459695, 0×3978, 0×119, 0×5219, 0×530, 0×54760893, 0×281, 0×9, 0×3378, 0×03, 0×5881, 0×767 602539056462107252992

349646078 0×8, 0×78 common: 0×939, 0×7, 0×5, 0×05, 0×49, 0×008, 0×1071, 0×299, 0×56051064 BXH2: 0×9177, 0×700, 0×931, 0×3878, 0×1910

Wird daraus jemand schlau? Auf mich wirkt es, als hätte sich das Skript zur Erzeugung von Spamprosa an einer sehr ungünstigen Stelle automatisch zusammengestellter Texte festgebissen, um jetzt in niemals endendem Fluss Diagnosemeldungen von Druckern und anderen Peripheriegeräten, wirre Zahlenlisten und ähnliche Daten zu stetig neuer Sinnlosigkeit zu kombinieren. Wenn es Absicht wäre, würde ich es fast schon für Kunst halten.

Aber auch damit schafft es der Dreck nicht, durch den Spamfilter zu gelangen…

Eine gefährliche, neue Phishing-Masche

Freitag, 29. Februar 2008

Heute einmal eine ganz besondere Warnung vor einer neuen Phishing-Masche, die für deutsche Nutzer des Internet in die bevorstehende Zukunft weist. Es lohnt sich, diesen Text ganz zu lesen; und dies gilt vor allem, wenn man seine Kontoführung über das Internet erledigt.

1. Die Mail

Ich bin doch immer wieder überrascht, bei wie vielen „Banken“ ich als „Kunde“ geführt bin, obwohl mir keine Bank mehr ein vollwertiges Konto geben würde. Selbst jenseits des Atlantiks habe ich angeblich meine Konten, wenn ich dem Phisher glauben darf, der mich unter gefälschter Absenderadresse und mit dem Betreff „important reminder: digital certificate issued <message id: b0531731us>“ mit einer HTML-formatierten Mail anschrieb.

Dear Bank of America Direct User:

Klar, bei der angeblichen „Bank of America“ ist man zwar imstande, eine kryptisch anmutende „Message ID“ in den Betreff aufzunehmen, aber dafür gelingt es dort offenbar nicht, einen Kunden einfach bei seinem Namen anzusprechen. Auch für so eine Kleinigkeit wie eine Kontonummer oder eine Kundennummer hat es nicht hingereicht. Schließlich ist unpersönliches, technokratisches Auftreten der letzte Schrei im Kundendienst. :mrgreen:

Our records indicate that a new digital certificate has been issued to your Bank of America Direct user ID.

Und wo wir schon bei technokratisch sind… hier wird nicht etwa persönlich angesprochen, sondern mit der Aktenlage begründet. Vor allem, weil man mit diesen unpersönlichen Formulierungen am besten verbergen kann, dass man auf Seiten der Kriminellen gar nicht weiß, wie der Empfänger der Mail angesprochen werden sollte. Dass die Benutzer-ID, für die hier angeblich ein neues „digitales Zertifikat“ ausgegeben wurde, gar nicht näher benannt wird, fällt dabei dem dummen Gläubigen solchen Geschwafels wohl auch nicht weiter auf – sonst käme er noch auf die Idee, diese Nummer mit seinen Unterlagen zu vergleichen.

Digital certificates are computer-based records issued to individual user IDs that allow Bank of America Direct to validate your identity and protect your information from unauthorized access. In order to access Bank of America Direct, you must use a valid digital certificate.

So, jetzt erklären wir noch einmal kurz für Dumme, was es mit diesem angeblichen „digitalen Zertifikat“ auf sich hat. Schön irreführend natürlich, damit der Empfänger glaubt, er käme demnächst gar nicht mehr an sein Konto und damit auch nicht mehr an sein Geld ran. Außer natürlich, er installiert sich schnell dieses angebliche „digitale Zertifikat“ seiner „Bank“, die ja so „freundlich“ ist, ihn darauf hinzuweisen und auch gleich zu sagen, wie man das macht:

Installation Instructions
To install your newly-granted digital certificate, please access the Digital Certificate Pick-Up site at:

http://direct-certs.bankofamerica.com/ [… sehr lange URL von mir gekürzt]

Die in der Mail angegebene URL sieht ja auch noch koscher nach dem Server bankofamerica.com aus, so dass Mitmensch Empfänger gar nicht auf die Idee kommt, dass hier ein Problem liegen könnte. Mitmensch Empfänger weiß ja auch im Allgemeinen gar nicht, dass er eine HTML-formatierte Mail vorliegen hat, in der man zum Beispiel eine angegebene URL ganz einfach mit einem Link auf eine völlig andere URL ausstatten kann. Und der im Link angegebene voll qualifizierte Domainname sieht zwar hübsch ähnlich aus, damit Mitmensch Dummkopf es nicht gleich beim ersten Blick in die Adresszeile seines Browsers merkt, aber…

http://direct-certs.bankofamerica.com.losao8.es/ [… sehr lange URL von mir gekürzt]

…verweist doch in Wirklichkeit auf die Domain losao8.es, unter der es gewiss keinen Kundendienst eines großen, US-amerikanischen Bankhauses geben wird. Vielmehr wird es dort die Installation von Dingen geben, die kein Mensch auf seinem Computer haben will; und dies schon gar nicht, wenn er mit seinem Computer auch noch Online-Banking betreibt.

Auf eine Installation ist das zukünftige Opfer ja schon vorbereitet, da wird es sich gewiss freuen, dass alles so leicht und schnell geht und dass es wieder an sein Konto und sein Geld kommt. Da stört es ihm gewiss nicht…

Please have your Bank of America Direct login information readily available when completing this process.

…dass es den Verbrechern auch gleich noch die Zugangsdaten für sein Konto liefert. Und die Verbrecher freuen sich auch, denn dieser Phishzug wird sich wirklich lohnen.

So, jetzt zum Abschluss noch ein paar Zeilen für die verbesserte Glaubwürdigkeit des ganzen Unsinns in die Mail schreiben…

Should you have any questions regarding this process, please consult your Company Administrator or contact your regional customer support center for further assistance.

Sincerely,
Bank of America Direct Technical Care Center

NOTE: This is an automatically generated communication.

…und fertig ist eine außerordentlich gefährliche Phishing-Mail, die gewiss ihre Opfer finden wird.

2. Warum ich darauf hinweise

Natürlich besteht für die überwiegend deutschen Leser dieses Textes noch keine Gefahr, auf diesen Phishzug reinzufallen. Außer, sie haben wirklich ein Konto bei US-amerikanischen Banken und sind es gewohnt, dass die gesamte Kommunikation mit der Bank in englischer Sprache läuft. Dennoch halte ich diesen Betrugsversuch für sehr gefährlich und bin mir angesichts der international organisierten Spam- und Phishing-Mafia völlig sicher, dass es demnächst ähnliche Versuche in deutscher Sprache geben wird. (Dass die Spammer in letzter Zeit immer besseres Deutsch produzieren, macht eine solche Möglichkeit noch etwas gefährlicher.)

Es sind vor allem die folgenden drei Gründe, die bei mir alle Alarmglocken klingeln lassen:

  1. Das Thema „Phishing“ ist zurzeit aus den deutschen Medien verschwunden, und deshalb wird die angemessene, kritische Aufmerksamkeit vieler Internet-Nutzer nachlassen.
  2. Die im Text verwendete Masche ist neu und noch völlig unverbraucht. Ein normaler Internet-Nutzer, der nicht über tiefere Kenntnisse verfügt, könnte die im Text der Mail gegebene Begründung für plausibel halten und deshalb leicht darauf hereinfallen.
  3. Die schon in der Mail angekündigte Installation einer Software-Komponente auf dem Rechner des Opfers ermöglicht den Kriminellen eine völlig neue, sehr effektive Vorgehensweise bei ihrem Betrug. Die Manipulationen können über einen längeren Zeitraum hinweg vor einem Opfer verborgen werden. Dabei kann es zu einem erheblichen finanziellen Schaden beim Opfer kommen.

Zunächst einmal das Sachliche, wenn auch hier etwas unsachlich zusammengefasst. Das in der zitierten Mail zum Schwindel bemühte Gelaber von einem „digitalen Zertifikat“ ist gut gequirlte Scheiße. Es gibt zwar wirklich digitale Zertifikate, aber diese erfüllen eine völlig andere Funktion und müssen niemals wie eine Software installiert werden. (Ein Browser kann aber sehr wohl beim Besuch einer Website rückfragen, ob einem bestimmten Zertifikat vertraut werden soll.) Wer Näheres zu diesem Thema wissen möchte, kann sich in der Hilfe seines Browsers in aller Ruhe schlau lesen.

Ich lege wirklich jedem Menschen nahe, sich ein paar Kenntnisse über seinen Computer und die darauf verwendete Software selbst anzueignen; vor allem, wenn er über dieses Vehikel so empfindliche Aufgaben wie das Bewegen von Geld erledigen möchte. Solides Wissen ist der beste und durch nichts anderes zu ersetzende Schutz vor den meisten Formen des Internet-Betruges, Unsicherheit und Halbwissen sind hingegen oft eine große Erleichterung für kriminelle Angreifer – dies gilt ausdrücklich auch für das blinde Vertrauen auf eine dieser vielen Software-Lösungen, die Sicherheit versprechen. (Natürlich kann solche Software dennoch eine wichtige Ergänzung sein.)

Was macht diesen Angriff jetzt über alle Maßen gefährlich, worin besteht die qualitative Steigerung gegenüber vorherigen Ansätzen des Phishings?

Nun, es ist die zusätzliche Installation auf dem Rechner des Opfers.

Ich habe hier gerade kein besonders gesichertes System und weiß nicht, was dabei in welcher Weise installiert wird. Aber ich kann aus dem Text dieser Mail den folgenden Ablauf bei der Installation und der nachfolgenden Kontoführung vermuten:

  • Das Opfer sieht nach dem Klick in eine Spammail eine betrügerisch nachgemachte Website im Layout seiner Bank und meldet sich dort wie gewohnt an.
  • Es ist davon auszugehen, dass die Verbrecher auf dem von ihnen kontrollierten Server mit den gleichen Anmeldedaten den richtigen Server der Bank des Opfers kontaktieren und mit einem automatischen Verfahren bedienen. Die Verbrecher stellen sich also schon beim ersten Mal in die Mitte zwischen dem Opfer und seiner Bank. Deshalb können sie auch gleich die richtige TAN vom TAN-Block des Opfers anfordern, wenn das übliche Verfahren verwendet wird.
  • Die Verbrecher holen sich vom Server der Bank sämtliche Kontoinformationen des Opfers ab und speichern diese in einer Datenbank auf ihrem eigenen Server. Mit Hilfe dieser Daten wird dem Opfer in den nächsten Wochen und Monaten vorgespielt, es sei noch Herr über sein eigenes Konto.
  • Nebenbei bekommt das Opfer eine Software zum Download und zur automatischen Installation angeboten. Diese Software wird ein Trojaner sein, der alle Zugriffe auf dem Server der Bank auf die Website der Verbrecher umleitet, die nach der Installation jedes Mal in der Mitte zwischen dem Opfer und seiner Bank stehen. Wer einen Internet-Explorer verwendet, kann sich darüber „freuen“, dass die ganze Installation automatisch abläuft.
  • Das Opfer kann über seinen eigenen Rechner nicht mehr die richtige Website seiner Bank erreichen, bemerkt dies aber nicht. Der Servername der Bank wird zur IP-Adresse eines Servers der Verbrecher aufgelöst. Das Opfer glaubt, dass es seine normale Kontoführung erledigt, aber es arbeitet dabei auf einem Server schwer krimineller Betrüger.
  • Es ist für diese Verbrecher nun technisch eine Kleinigkeit und organisatorisch eine Programmierung nur mittlerer Komplexität, diese Situation so auszunutzen, dass dem Opfer in der nachgemachten Website der Bank alles so angezeigt wird, dass keinerlei Verdacht entsteht. Alle Buchungen erscheinen genau so, wie das Opfer sie gewollt hat. Unter diesen Umständen kann das Opfer gar keinen Verdacht schöpfen.
  • In dieser Situation räumen die Verbrecher dreist und in maximal möglichem Umfang ab, ohne dass das Opfer eine Chance hat, etwas davon zu bemerken – und sie haben dabei, da niemand einen Verdacht schöpft, alle Zeit der Welt, das gebuchte Geld zu barem Geld zu machen. (Denn das ist bei solchen Formen des Betruges immer das größte organisatorische Problem.)
  • Wenn endlich ein Kontoauszug postalisch zugestellt wird, wenn eine Mahnung der Bank ins Haus flattert, wenn der Geldautomat kein Geld mehr ausgibt, wenn die Kreditkarte eingezogen wird… ja, denn ist es recht spät geworden, und die Verbrecher sind mit ihrer Beute längst über alle Berge. Ob das Opfer etwas von seinem Geld wiedersehen wird, ist sehr fraglich; es ist davon auszugehen, dass die meisten Banken sich in ihren AGB gegen solche Fälle mangelnder Sorgfalt ihrer Kunden abgesichert haben. Dem Opfer bleibt nur noch die Möglichkeit einer Strafanzeige gegen eine international organisierte Mafia, die zwar routiniert von der Polizei aufgenommen wird, aber kaum zu einem Ermittlungserfolg führen wird. Und natürlich bleibt das Geld verschwunden und ein ordentlicher Haufen Schulden wird für die nächsten Jahre zu einer drückenden Last.

Ich hoffe, dass jetzt auch dem letzten klar geworden ist, warum es sich hier um eine neue kriminelle Qualität im Phishing handelt, die ich in den nächsten Wochen auch in deutscher Sprache erwarte.

3. Wie kann man sich vor Phishing schützen?

Die Grundregeln, wie man sich vor jeder Form des Phishing schützt, sind ganz einfach zu beherzigen. Eigentlich handelt es sich um „gesunden Menschenverstand“, der sich grob in die folgenden fünf Hinweise zusammenfassen lässt:

  1. Die erste und wichtigste Regel: Bevor man wegen einer Mail von einer Bank (oder von einem Versandhaus oder eines anderen Unternehmens, bei dem man Kunde ist) etwas tut, was man selbst nicht versteht, ruft man beim Kundendienst an. Und zwar immer unter der Telefonnummer, die in den schriftlichen Unterlagen steht, und niemals unter einer Nummer, die in der Mail steht. Das gleiche gilt bei Anrufen der Bank oder eines anderen Unternehmens, bei dem man Kunde ist – immer misstrauisch sein, wenn es um Geld geht.
  2. Phishing-Mails erkennen: Wer als Kunde einer Bank oder eines anderen Unternehmens eine Mail erhält, in der er nicht einmal mit seinem Namen angesprochen wird, der hat es mit Sicherheit mit einem Phishing-Versuch zu tun. Am besten ist es, in dieser Situation sofort Kontakt zur Bank aufzunehmen, damit andere Menschen vor diesem wahrscheinlich massenhaften Betrugsversuch gewarnt werden können. Leider sind viele deutsche Banken tendenziell etwas nachlässig in ihrer Verantwortung, ihre Kunden über laufende Angriffe zu informieren – das kann und wird sich jedoch ändern, wenn es immer wieder von Kunden eingefordert wird.
  3. Immer daran denken: Keine deutsche und wohl auch kaum eine ausländische Bank fordert mit Mails dazu auf, die Bank-Homepage zu besuchen und dort irgend etwas angeblich Erforderliches zu tun. Wenn dies doch einmal geschehen sollte, und man ist sich als Empfänger auch nur ein kleines bisschen unsicher (weil man zum Beispiel namentlich angesprochen wurde), denn sollte man immer noch einmal telefonisch bei der Bank nachfragen. Dieses bisschen Prävention kann tausende von Euros sparen und sehr die Nerven schonen.
  4. Vorsicht beim Klicken: Die Internet-Adresse seiner Bank gibt man immer von Hand ein! Ein Klick in eine Mail ist gefährlich, da er zu einer anderen Adresse führen kann, als man glaubt. Es ist aber auch sehr gefährlich, die Lesezeichen seines Browsers zu benutzen, da sich diese relativ leicht durch andere Programme verändern lassen – und irgendwann werden auch solche Wege von Kriminellen beschritten werden. Also nochmal: Die Internet-Adresse seiner Bank gibt man immer von Hand ein! Selbst das gibt noch keine umfassende Sicherheit, da die Namensauflösung manipuliert sein kann (wie ich es etwa als Folge des hier vorgestellten Phishing-Versuches vermute), aber es hilft gegen jene einfachen Angriffe, die komplexen Angriffen voraus gehen müssen.
  5. Spam ungelesen löschen: Niemals auch nur darüber nachdenken, auf einen Link in irgendeiner Spam zu klicken – egal, ob es sich um eine Spammail handelt, ob es ein Spamkommentar in einem Blog oder einem Gästebuch ist, ob es ICQ-Spam oder eine sonstige Form der Spam ist. Die meiste Schadsoftware nimmt heute über Spam ihren Weg auf die Computer. Wenn man den Kriminellen erst einmal den eigenen Rechner zur Verfügung gestellt hat, denn haben sie auch bei komplexen Manipulationen leichtes Spiel. Und das kann für den Betroffenen sehr teuer werden.

Mit Hilfe dieser sehr einfachen Hinweise sollte es jedem möglich sein, Schaden von sich selbst abzuwenden. Diese Hinweise haben zudem noch einen weiteren Vorteil: Sie kosten – im Gegensatz zu mancher in dieser Sache völlig wirkungslosen, aber teuer verkauften Software zum „Schutz“ des Computers – kein Geld, können aber viel Geld sparen helfen.

Es gibt noch einen weiterführenden Hinweis auf eine technische Verbesserung. Die Befolgung dieses Hinweises kostet ebenfalls kein Geld, ist aber mit einem kleinen Aufwand verbunden: Niemals einen unsicheren Browser oder einen unsicheren Mailclient verwenden! Besonders gefährlich ist der Internet-Explorer, doch auch ein Firefox oder ein Opera sollte – ebenso wie ein Thunderbird – immer auf dem neuesten Stand gehalten werden. So kann man das Mögliche dafür tun, dass der eigene Rechner nur das tut, was man selbst möchte, ohne dass man Kriminellen die Chance gibt, mit boshaft präparierten Inhalten Schaden anzurichten.

Volksbanken Raiffeisenbanken AG

Mittwoch, 10. Oktober 2007

Mal wieder ein recht plumper Phishing-Versuch, der vorgibt, von der „Volksbanken Raiffeisenbanken AG“ zu kommen. Die Gestaltung ist durchaus stilsicher, und auch die Sprache hat inzwischen mal ein paar Lektionen in deutscher Grammatik inhaliert:

Betreff: Volksbanken Raiffeisenbanken AG: 07/10/2007

Sehr geehrter Kunde, sehr geehrte Kundin,

Ich bin kein Kunde bei einer Volksbank. Das wissen die Spammer nur nicht, die sprechen einfach jeden als Kunden an. Ein paar werden es schon sein, und einige davon sind vielleicht sogar so blöd und klicken.

Aber davon einmal abgesehen: Jedes Unternehmen würde in einer echten Mail die Kunden mit ihrem Namen ansprechen. Ob hingegen ein so aussageloser Betreff geschrieben würde, ist eine andere Frage. Was das Datum im Betreff zu suchen hat, obwohl es doch sowieso im Header der Mail steht, bleibt das besondere Geheimnis dieser Phisher.

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Und was habe ich damit zu tun? Können die ihre Software nicht so pflegen, dass die Kunden es nicht merken? Das machen die doch sonst auch immer so?

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://www.vr-networld#de/DEGCB/JPS/portal/Index.do

Was man dem „Link“ sofort ansieht, ist die Tatsache, dass er „ziemlich seltsam“ aussieht und eigentlich kaum funktionieren kann. Was man ihm nicht auf den ersten Blick ansieht, ist eine andere Tatsache: Es handelt sich um eine HTML-Mail, und der wie eine URL aussehen wollende Text verweist auf eine ganz andere URL der Domain vzlad.cn, die noch weniger an eine deutsche Bank erinnert. Dort wird man bestimmt eine gute Gelegenheit erhalten, ein paar geldwerte Daten an Verbrecher zu übermitteln.

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

Wir bitten Sie, die Abbuchung von einigen Tausend Euro durch mafiös organisierte Kriminelle zu entschuldigen und bedanken uns für Ihre Mithilfe.

DHL verlost Preise

Montag, 24. September 2007

Na, wie blöd muss ein Spamempfänger sein, damit er diese Mitteilung eines Absenders mit gefälschter Mailadresse glaubt (DHL hat damit nichts zu tun):

Betreff: DHL Verlost Preise im Wert von mehr als 1000 Euro

5 JAHRE – DHL PACKSTATION

Gewinnen Sie jetzt Attraktive Preise
Beim DHL PACKSTATION Cup im wert von Über 1000 EUR

Klar, ein Appell an die Gier ist etwas, dem Deppen nicht widerstehen können. Und Deppen sind auch genau das richtige für diesen Angriffsversuch, denn sie merken weder, dass hier jemand mit der Groß-/Kleinschreibung im Deutschen erhebliche Probleme hat…

Melden Sie Sich gleich mit ihren Daten an und nehmen an der Verlosung teil.

http://www.packstation-cup.de

…, noch merken sie, dass sie eine HTML-Mail vor sich liegen haben. Und dieser Link hat es in sich, denn er führt auf eine ganz andere Seite als man beim Anblick der URL glauben möchte. Dort kriegt man zwar keine 1000 Euro, aber dafür darf man seine Anmeldedaten an ein paar Verbrecher weitergeben.

Viel Spass mit PACKSTATION wuenscht Ihnen
Ihr PACKSTATION Team

http://www.packstation-cup.de
Servicenummer 01803 / [… von mir entfernt]*

Ja, mit Pack haben wir es hier wirklich zu tun. Die Servicenummer klingt echt, aber ich habe gerade keine Lust, da anzurufen. Ich schätze nämlich, dass die Mitarbeiter dort ziemlich genervt sein werden, weil sie heute schon mit mehreren tausend zum Teil erbosten Spamempfängern gesprochen haben. Dem kriminellen Spammer ist es aber scheißegal, welchen wirtschaftlichen Schaden er anrichtet.

Da ist es auch nur wenig tröstlich, dass der Mailfälscher am Ende noch einmal vor dem Ausfluss seines eigenen Tuns warnt:

PS:
VORSICHT VOR GEFÄLSCHTEN EMAILS! Immer wieder versuchen Betrüger mit gefälschten Absendern namhafter Firmen an vertrauliche Daten wie z.B. die PIN von Kunden zu gelangen. Bitte löschen Sie verdächtige eMails sofort und geben Sie auf keinen Fall persönliche Daten an! Mehr Informationen auf unserer Website.
http://www.dhl.de/packstation-daten-aendern
*9 ct. je angefangene Min. im Festnetz der T-Com

Hier hat man nämlich gleich unter der Warnung, dass man so etwas niemals machen sollte die zweite Gelegenheit, seine Zugangsdaten an Verbrecher zu senden. Für wie dumm die potenziellen Opfer von so einem Spammer gehalten werden, ist damit wohl klar. Wer nicht so dumm ist, der löscht diesen kriminellen Angriff und lässt sich auch nicht davon zu einem Klick verführen, dass ihm irgendwelche Mails mit gefälschtem Absender zwei hübsche lila Lappen als „Preis“ versprechen.

Wer nämlich DHL-Kunde ist und dort ein Kundenkonto hat, der wird in eventuellen Mails von DHL mit seinem Namen angesprochen werden. Eine unpersönliche Anrede in einer Mail, die angeblich von einer Firma kommen soll, bei der man Kunde ist, sie ist immer ein deutliches Zeichen für eine Spam.

Zahl der Phishing-Opfer gestiegen

Mittwoch, 29. August 2007

Diese Meldung in der Netzeitung sollte jeden warnen, der das Thema Spam immer noch auf die leichte Schulter nimmt:

Die Zahl der Internet-Nutzer, deren Konten mit geklauten Passwörtern geplündert worden seien […] sei im vergangenen Jahr bundesweit um 23 Prozent gestiegen […] Insgesamt seien in 3250 Fällen 13 Millionen Euro von Konten der Opfer gestohlen worden.

Für das einzelne Opfer dieses groß angelegten und mafiös organiserten Betruges ist das ein oft erheblicher Verlust. Die durchschnittliche Schadensumme der Betroffenen liegt nach diesen Zahlen bei immerhin 4000 Euro. Nur wenige Menschen können es sich leisten, mal eben viertausend Euro für Nichts wegzuwerfen, und selbst wer sich das leisten könnte, wird es dennoch nicht wollen.

Nicht alle Opfer des gegenwärtigen Phishings sind so dumm, dass sie eine gefälschte Mail ihrer Bank für echt halten und daraufhin ihre TAN auf den Websites von Betrügern eingeben. Es gibt diese naiven Dummköpfe zwar immer noch, aber die meisten Opfer des Phishings werden heute mit hohem technischem Aufwand überrumpelt:

In den meisten Fällen schickten Betrüger per E-Mail einen sogenannten Trojaner – ein Schadprogramm, das die Daten heimlich ausspäht und weitergibt. Anderer Schadprogramme leiteten die Nutzer beim Online-Banking im Hintergrund auf gefälschte Seiten weiter.

Recht häufig werden die Trojaner übrigens installiert, wenn man auf Links in Spam-Mails klickt und so präparierte Seiten aufruft, die Sicherheitslöcher der gängigen Browser ausnutzen. Die Installation der Software geschieht unauffällig und im Hintergrund, und danach hat man seinen für teures Geld gekauften Rechner in einen Computer verwandelt, der von der Spam-Mafia kontrolliert und ferngesteuert wird. Es ist zwar richtig, wenn die in der Netzeitung zitierte Agenturmeldung folgendes empfiehlt…

Laut Bitkom ist es daher wichtig, die jeweils neuesten Schutzmethoden zu verwenden. Dazu zählt der Schutz des Computers mit einer aktuellen Anti-Viren-Software. Wichtig ist zudem eine gesunde Skepsis beim Empfang von E-Mails […]

…aber die wichtigsten Regeln im Mailverkehr (und auch bei der Benutzung so genannter „Web 2.0″-Dienste) sind noch viel einfacher zu beherzigen und sehr viel wichtiger als das blinde Vertrauen in irgendwelche Programme gegen Viren. Hier in aller Kürze der dreifache Imperativ des gegenwärtigen Internets:

  • NIEMALS auf einen Link in einer Spam klicken!
  • NIEMALS den Anhang einer Spam öffnen!
  • NIEMALS glauben, dass der Absender einer Mail stimmt!

Der letzte Punkt wird in Zukunft von immer größerer Wichtigkeit sein. Es ist leicht, einen Absender zu fälschen, alle Spam-Mails kommen mit gefälschtem Absender. Es dauert wohl nicht mehr lange, bis viele Spams scheinbar von regelmäßigen Kontakten kommen. Wer eine Mail von einem Bekannten erhält, die in irgendeiner Weise untypisch und damit verdächtig ist (falsche Sprache, ungewohnte inhaltliche Schwächen, veränderter Stil, seltsame Ausdrucksweise), sollte vor dem Klick auf einen Link oder vor dem Öffnen eines Anhanges lieber einmal anrufen und nachfragen, ob diese Mail auch wirklich von ihm kommt. Dieses bisschen Prävention kann schnell tausende von Euro und viel Ärger mit einen von Kriminellen übernommenen Rechner sparen.

Es ist nur eine Frage der Zeit, bis die Spam-Mafia dazu übergehen wird, ihren Opfern die Trojaner der nächsten Generation unterzujubeln. Diese Programme werden nicht nur unbemerkt im Hintergrund Passwörter sammeln und die Aktionen beim Online-Banking manipulieren, sondern sich auch verbreiten, indem sie sich selbst an alle Mail-Kontakte des Opfers weitersenden. Dabei können durchaus Mailtexte aus Textfragmenten bisheriger Mails zusammengesetzt werden, so dass die automatische Erkennung durch Spamfilter sehr schwierig wird. Hier ist dann der Mensch gefragt, der immer noch deutlich intelligenter als ein dummer Computer sein sollte und diese Intelligenz eben für die Erkennung von Spam und Angriffsversuchen nutzen muss.

Wer aber glaubt, dass er zusätzlich einen wirksamen technischen Schutz gegen die kriminellen Anliegen der Spam- und Phishing-Mafia benötigt, der sollte sich nicht allein auf Virenscanner verlassen, die nur die technische Anfälligkeit des verwendeten Systemes ausbügeln. Der beste technische Schutz ist es immer noch, für die täglichen Sitzungen im Internet ein Betriebssystem und eine Arbeitsumgebung zu verwenden, die sich als relativ resistent gegen solche Angriffe erweisen – und natürlich, dieses System auch immer auf einem aktuellen Stand zu halten. Ich kann hier nur Linux empfehlen, das nichts kostet, frei ist und dem Anwender wieder den Computer zurückgibt. Das eventuelle Umlernen auf das neue System zahlt sich später hundertfach in gesparter Zeit aus, die man nicht in einen zickig gewordenen Rechner investieren muss.

Wenn ein Verzicht auf Microsoft Windows, diesem Betriebssystem mit der betrüblichen Sicherheitsgeschichte, aber gar nicht möglich ist, denn sollte doch wenigstens nicht die Standardumgebung von Microsoft verwendet werden, auf die viele Angriffsversuche wegen der großen Verbreitung dieser Umgebung und der relativen Leichtigkeit solcher Angriffe abzielen. Es gibt gute und kostenlose Alternativen zum fatalen Dreigespann Microsoft Internet Explorer, Microsoft Outlook und Microsoft Office. Wer sich mit aktuell gehaltenen Versionen von Firefox, Thunderbird und Open Office in seine täglichen Computersitzungen begibt, wer nicht standardmäßig und ohne besondere Notwendigkeit mit Administratorrechten arbeitet, und wer zusätzlich sein Gehirn benutzt und nicht wie ein dressierter Affe auf alles klickt, was sich irgendwie anklicken lässt, der ist auch mit Windows relativ sicher im Internet unterwegs. Der Virenscanner ist dennoch dringend empfohlen, und natürlich müssen die Signaturdateien regelmäßig aktuell gehalten werden. Windows bleibt immer noch ein System, das vor allem für kriminelle Angreifer viele Schlupflöcher bietet.

Die Zitate in diesem Text wurden dem oben verlinkten Artikel in der Netzeitung entnommen.

Danke, dass sie ihre Rechnung rechtzeitig erganzt haben

Donnerstag, 19. Juli 2007

Mit diesem Betreff kommt eine Spam mit dem gefälschten Absender info@t-mobile.de daher, die von sich behauptet, von „t-mobile“ zu stammen. Natürlich handelt es sich hier um einen weiteren Versuch, den Menschen Schadsoftware unterzujubeln. Ich traue den diversen Nachkommen der Deutschen Bundespost ja so manche Form des Schwachsinnes zu, aber die deutsche Sprache wird dort im allgemeinen mit korrekten Umlauten geschrieben. 😉

Aber komme ich mal zum Text der mutmaßlich millionenfach ins deutschsprachige Internet gepusteten Spam:

Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefons immer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.

Sehr erfreulich, dass sich „T-Mobile“ in Anführungszeichen schreibt. Das passt auch gut dazu, dass jede persönliche Ansprache des Kunden unterlassen wurde, dem für sein Erganzen „die Punkte“ angerechnet werden sollen. Klar, ich bin ja auch gar kein Kunde bei denen.

Jetzt fragt sich nur noch, was „die Punkte“ sein sollen. Auch darüber schweigt sich diese asoziale und kriminelle Spam nicht aus, damit auch der letzte Depp versteht, dass diese Punkte etwas wert sein sollen:

1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier [… URL mit Link auf eine andere URL von mir entfernt] anschauen.

Die angegebene URL gibt vor, auf die Domain t-mobile.de zu verweisen. Es handelt sich allerdings um eine HTML-Mail, und in Wirklichkeit wird hier auf eine kostenlose Homepage bei GeoCities verwiesen, was ja durchaus schon eine gewisse Tradition bei den Malware-Spams hat. Man möchte fast sagen, dass GeoCities inzwischen der beliebteste kostenlose Hoster bei Kriminellen geworden ist – und offenbar bekommt dort niemand derartige Probleme in den Griff.

Ich habe mir jetzt nicht angeschaut, was ich unter dem Link aus der Spam zu sehen bekäme, weil ich gerade kein besonders gesichertes System zur Verfügung habe. Völlig sicher ist aber, dass es nichts mit T-Mobile zu tun hat, da dieses Großunternehmen natürlich eine eigene Homepage hat und nicht auf die Dienste kostenlosen Hostings angewiesen ist. Allein diese Tatsache zusammen mit der ziemlich missglückten Maskierung des wirklichen Linkzieles in der Spam sollte sogar dem Blindesten deutlich machen, dass dort ein wenig erfreuliches Angebot auf die schnell klickenden Deppen wartet.

Zumal das Deutsch am Ende der Mail doch ein wenig hakelig wird:

Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Klar, und eine notwendige Bedingung des Erfolges der Spam ist die positive Verwendung grammatisch korrekten Deutsches im Laufe von dem Text. :mrgreen:

Warnung: Man klickt niemals auf einen Link in einer Spam. Niemals. Wer es dennoch tun möchte, der sollte das mit einem besonders gesicherten System tun, und auch dann kann noch Unerfreuliches passieren. Ein blindes Vertrauen auf einen Virenchecker ist fehl am Platze. So groß kann die Freude an der gesättigten Neugier gar nicht sein, dass es sich lohnt, mit dem möglicherweise anschließenden Ärger zu leben. Wer nicht weiß, wie man ein System besonders gegen Angriffe sichert, sollte gar nicht erst über den Klick nachdenken. Und wer sich bei einer Mail von T-Mobile, einem Versandhaus oder einer Bank unsicher ist, ob sie vielleicht echt sein könnte, der sollte einfach den dortigen Kundendienst anrufen, bevor er etwas unsäglich dummes tut. Dort wird ihm auch gesagt werden, dass Kunden in der Regel mit ihrem Namen angesprochen werden und dass eine unpersönliche Anrede immer ein deutliches Zeichen für eine Fälschung ist.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.