Phishing-Mails erkennen

Neulich habe ich ja schon ein wenig über gute Passwörter geschrieben und Tipps gegeben, wie man im Internet sicherer unterwegs ist. Ich will es hier nicht andauernd technisch werden lassen — dafür ist das der falsche Platz. Aber so ein paar grundlegende Dinge will ich trotzdem mal — möglichst einfach — erklären, weil das die wichtigsten Stellen sind, wo böse Buben an die Ersparnisse gelangen können. Wenn man die Tipps zu den Passwörtern beherzigt, und das verstanden hat, worum es heute geht, ist man wesentlich sicherer im Internet unterwegs. Natürlich gibt es immer noch mehr zu wissen, beachten und verstehen. Aber das hier deckt die größten Gefahrenquellen ab.

Die Gefahr, um die es hier geht, ist Phishing. Das kommt vom englischen Fishing (Angeln), wobei das P auf Passwort hindeutet. Jemand wirft also einen Köder aus, um ein Passwort zu angeln, und hofft darauf, dass irgend ein Dummer anbeißt. Das funktioniert vor allem ganz gut bei Internet-Nutzern, die wenig Erfahrung und technisches Verständnis haben.

In der Regel wird Phishing per E-Mail betrieben. Der Angreifer sendet eine E-Mail, die so aussehen soll, als sei sie von einem bekannten Dienst wie Amazon, eBay, PayPal oder von einer Bank geschickt worden. Der Empfänger wird darin meist über irgendwelche Probleme mit seinem Konto informiert, die er kurz durch eine Anmeldung auf der Webseite beheben kann. Darauf folgt ein Link zu einer falschen Seite, wo er seine Zugangsdaten eingeben soll. Das nichts ahnende Opfer gibt seine Zugangsdaten also ohne es zu merken dem Angreifer — und der geht einkaufen.

Phishing erkennen

Es gibt ein paar ganz einfache Möglichkeiten, wie man Phishing-Mails erkennen kann. Wenn eine oder sogar mehrere davon zutreffen, solltet Ihr die Mail einfach löschen.

  • Die Mail enthält nicht Euren Namen in der Anrede. Die echten Dienste werden Euch immer mit Eurem Namen anreden — schon aus Höflichkeit, denn Ihr seid ja Kunden.
  • Der Inhalt der Mail will Euch auf irgend eine Art Angst machen: irgendwas ist schief gegangen, ein technisches Problem, und Ihr sollt kurz was tun, um das zu beheben, damit Euer Konto weiterhin sicher ist. Oder der Klassiker: „das Konto wird demnächst deaktiviert“, wenn man sich nicht anmeldet.
  • Ihr werdet ganz direkt dazu aufgefordert, auf einen Link zu klicken und Euch dort auf der Seite anzumelden. Ein echter Dienst wird Euch fast immer erst zur Eingabe der Zugangsdaten auffordern, wenn es notwendig ist. Oft steht dann auch schon der Benutzername bzw. die E-Mail-Adresse vorausgefüllt im Formular, weil Ihr Euch auf der echten Seite schon mal angemeldet habt.
  • Die E-Mail kommt aus heiterem Himmel. Ihr habt nicht damit gerechnet, weil Ihr in den letzten Stunden (oder Tagen) gar nichts mit dem Dienst, dem angeblichen Absender, zu schaffen hattet.

Darüber hinaus gibt es einige noch wesentlich auffälligere Merkmale, die man fast nicht übersehen kann.

  • Die Mail enthält einfache bis sehr grobe Rechtschreibfehler. Phishing-Mails werden oft aus dem Ausland verschickt, von Leuten, die unserer Sprache gar nicht mächtig sind.
  • Die Grammatik des Textes stimmt nicht. Oft werden die Texte automatisch übersetzt, und da kommt bekanntlich nur Quatsch raus.
  • Unsere deutschen Schiftzeichen (äöüß) werden nicht richtig dargestellt oder wurden durch andere Buchstaben ersetzt. Die Angreifer haben die Zeichen nicht zur Verfügung oder wissen nichts damit anzufangen. Da wird aus einem ß schnell mal ein B gemacht.
  • Die Mail enthält einen Link, der auf eine falsche Seite verweist. Das ist das sicherste Erkennungszeichen, für den Laien aber auch das am schwersten verständliche. Um hier einen Betrugsversuch zu erkennen, muss man ein bisschen mehr über die Adressen von Websites wissen.

Links verstehen

Wichtigste Information überhaupt: Ein Link führt nicht immer zu dem Ziel, das uns sein Text weismachen will.

Wenn man mit der Maus über den Link fährt, wird sowohl in Eurem Browser als auch bei fast allen Mail-Programmen irgendwo unten angezeigt, wohin der Link wirklich führt. Nur das, was da steht, ist ausschlaggebend. Diese Seite wird aufgerufen, wenn Ihr auf den Link klickt. Auf Tablets kann das leider meistens nicht angezeigt werden, was schade und so gesehen sogar gefährlich ist.

In Phishing-Mails wird fast immer ein falscher Link hinter einen Text gelegt, der so aussehen soll, als wäre alles in Ordnung. Die lesbare Adresse scheint die richtige zu sein, aber wenn man drauf klickt, wird man ganz woanders hin geleitet. Das ist übrigens kein Fehler oder eine Sicherheitslücke, sondern eine ganz normale Funktion.

Ihr wisst jetzt also, wie Ihr herausfindet, wohin ein Link wirklich führt. Schön und gut, jetzt gilt es nur noch zu erkennen, ob die Zieladresse gefährlich ist. Die Adresse — das was aufgerufen wird, wenn Ihr auf einen Link klickt — das was danach oben in Eurem Browser steht — kann ziemlich lang und unleserlich werden. Trotzdem ist sie nicht so schwer zu verstehen, da man viel davon ignorieren kann.

Bevor ich viel schreiAufbau einer URLbe, hier einfach eine kleine Grafik dazu. Ich hoffe, es ist halbwegs übersichtlich.

Aufbau einer URL

http://

Dieser erste Teil ist das Protokoll. Sagen wir einfach, das ist das Verfahren, wie sich der Browser mit dem Internet unterhalten soll. Ungefähr so, als würdet Ihr Euch entscheiden, ob Ihr jemanden anruft, Ihm einen Brief schreibt oder ein Paket schickt.

Das Protokoll endet immer mit :// — Wenn Ihr selbst eine Webseite aufruft, könnt Ihr es weg lassen, das wird automatisch hinzugefügt. Zum Erkennen von Phishing kann das Protokoll ignoriert werden. Allerdings ist die Wahrscheinlichkeit, dass es sich tatsächlich um einen Betrugsversuch handelt, etwas geringer, wenn da https:// steht, statt nur http://.

login.beispiel-shop.de

Dieser Teil ist die eigentliche Adresse. Eigentlich sagt man Domain dazu, und die besteht aus mehreren Teilen. Dazu gehört alles, bis zum ersten Schrägstrich (gleich mehr dazu). Die Einzelteile werden durch Punkte getrennt und man liest sie am besten von hinten nach vorne.

Der letzte Teil ist die Länderkennung, wobei die sich nicht unbedingt auf ein Land beziehen muss. Für Deutschland ist de üblich, häufig trifft man aber auch com für kommerzielle Seiten, org für Organisationen oder net für Netzwerke. Normalerweise sind es nicht mehr als vier Buchstaben; einige Seiten haben zwei solche Endungen, zum Beispiel co.uk.

Davor kommt der eigentliche Name der Seite, zum Beispiel amazon, ebay, gmx oder facebook. Dieser Teil ist der ausschlaggebende! Wenn dieser vorletzte Teil der Adresse zusammen mit der eben erwähnten Endung nicht der Adresse entspricht, die Ihr kennt, ist das ganze wahrscheinlich eine Mogelpackung!

Vor dem Namen und der Endung kommt entweder nichts mehr oder eine Unterseite, eine sogenannte Subdomain. Bei sehr vielen Seiten gibt es die Subdomain www, wodurch die klassischen Adressen wie www.amazon.de, www.ebay.de oder eben www.daa-guggsch.de zustande kommen.

Dabei kann es mehrere Subdomains nacheinander geben, also Unter-Unterseiten und Unter-Unter-Unterseiten. Möglich wäre also sowas wie gell.hannes.daa-guggsch.de. Sobald jemandem eine Domain gehört, kann er beliebige Subdomains dafür anlegen. Das wird von den bösen Jungs ausgenutzt, um Leute in die Irre zu führen. Sie erstellen Adressen wie www.amazon.de-phishing.com (vielleicht etwas unauffälliger). Man sieht dann am Anfang „ah, da steht ja www.amazon, alles in Ordnung“ — ist es aber gar nicht. Das eigentliche Ziel ist immer noch de-phishing.com, die Webseite, des Angreifers. Also immer schön auf das Ende der Domain schauen, nicht auf den Anfang. Viele Browser heben inzwischen den relevanten Teil der Adresse etwas hervor, damit man schneller sieht, woran man ist.

/

Der erste Schrägstrich ist schließlich der Abschluss der eigentlichen Adresse. Alles, was danach kommt, kann Euch erstmal egal sein. Das sind nur Verzeichnisse, Dateien und zusätzliche Parameter, die keine klare Aussage darüber zulassen, ob man auf der echten Website des Dienstes ist, oder bei einem Schlitzohr.

Allerdings können besagte Schlitzohren das, was nach dem ersten Schrägstrich zu lesen ist, völlig frei beeinflussen. Deshalb nutzen sie das ebenfalls oft aus, um dort vertraute Adressbestandteile unter zu bringen, wie zum Beispiel www.amazon.de. Um so wichtiger ist es zu wissen, dass alles nach dem ersten Schrägstrich (von den beiden nach http:// mal abgesehen) keine Bedeutung mehr dafür hat, ob man auf der echten Webseite ist oder nicht. Nur das direkt davor zählt.

Ihr seht also, es ist gar nicht so schwer, eine Adresse zu verstehen und zu erkennen, ob sie einen hinters Licht führen will. Alles, worauf es ankommt, ist der Teil vor dem ersten Schrägstrich — genauer gesagt dessen Bestandteile, wenn man ihn am Punkt zerlegt — von hinten gelesen.


Damit wisst Ihr auch schon alles, was man unbedingt wissen sollte, um nicht auf Phishing-Mails hereinzufallen. Wenn also welche in Eurem Postfach landen: einfach löschen. Im Zweifelsfall: klickt keinesfalls auf einen Link in einer E-Mail, wenn Ihr Euch nicht vollkommen sicher seid, dass der Absender wirklich derjenige ist, der er vorgibt zu sein.

Und — das gilt auch für unerwünschte Werbe-Mails (Spam) — antwortet niemals auf so eine Mail. Das ist dem Absender völlig egal, ob Ihr sowas nicht mehr bekommen wollt. Alles was Ihr damit erreicht ist, dass der Absender eine Bestätigung hat, dass Mails an Eure Adresse ankommen und gelesen werden. Und dann schickt er nur noch mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.