, Author

Last Updated on

Liebe Leserinnen und Leser,

da kam heute früh eine sehr interessante E-Mail bei mir an. Der Betreff deutet ja schon an, daß es sich hierbei wohl um eine Phishing-Mail handelt … allerdings was für eine! Ich bin ja schon einiges gewohnt in dieser Richtung, aber sowas hab ich auch noch nicht gesehen.

 

Phishing-Versuch eines Vollidioten!

Das ist zwar eine ziemlich krasse Überschrift, ihr werdet aber gleich sehen, daß das so seine Berechtigung hat! Schauen wir uns das Teil also mal an, und zwar erst einmal im

 

Klartext!

Wie ihr wißt lasse ich mir meine E-Mails ja als reinen Text anzeigen, wodurch man unter Anderem auch die richtigen Links sieht, zu welcher Website man denn da geleitet werden soll. Diese Mail hat es nun im reinen Textformat schon gehörig in sich, da staunt man eigentlich nur noch Bauklötze! Denkt an den Betreff und schaut euch nun den Text an:

<http://laism.eu/*****@arcor.de**.de>

* Ihre Referenz : 2020244034019354
* Ihre E -Mail : *****@arcor.de

**

**

Dear Es Wong,

Congratulations. You have successfully activated your 1&1 Username akral@sfr.fr.

From now on, you can easily and comfortably log in to your 1&1 Control Panel
<https://my.1and1.com/> with your e-mail address and your customer password.

Here you can change settings, access applications, manage your data and utilise
your 1&1 package(s).

Do you have any questions? We will be happy to assist you. To reach us, please
use these contact details <#box-service>.

We hope you enjoy 1&1’s products and services.

A4508_95070284-2438_US_ZG1-OMS

Member of United Internet

Zunächst wäre da mal die obere (von mir verstümmelte) URL an erster Stelle zu nennen, hier kommt man auf eine meiner Ansicht nach wirklich beeindruckend gefälschte Anmeldeseite der „Deutschen Bank“ zwecks angeblicher Anmeldung zum Onlinebanking:

Falscher Login Deutsche Bank
Screenshot by TmoWizard

Ich gehe hierbei davon aus, daß dort einfach die original Seite kopiert wurde. Was laism.eu jedoch mit einer Registrierung bei 1und1 zu tun hat… keinen Plan. Ich nehme einmal an, daß der „Phisher“ hier statt eine neue E-Mail zu erstellen aus Versehen eine alte E-Mail verwendet hat und den Inhalt dieser nicht gelöscht hat, eventuell arbeitet er aber auch mit vorgefertigten Bausteinen. Tja, dumm gelaufen! Da er sich seine E-Mails wohl im HTML-Format betrachtet und bearbeitet hat er natürlich auch nicht bemerkt, was für ein grobes Foul ihm da unterlaufen ist.

Die unter dieser URL stehende Mail-Adresse war übrigens meine eigene, welche man in meinem Impressum findet. Interessant ist hierbei auch der untere Teil dieser gefälschten Website, Zitat:

Aktueller Sicherheitshinweis: Neue Phishing-Mail im Umlauf

Aktuell sind E-Mails mit gefälschten Absenderadressen im Umlauf. über diese E-Mails wird versucht, an persönliche Zugangsdaten zum Online-Banking oder Telefon-Banking zu gelangen.

Alles klar: Bei einer Phishing-Site die Warnung vor einer Phishing-Mail!  :mrgreen: Man beachte hierbei auch das kleine „ü“, das muß wohl von einer älteren Version der original Webseite sein, die jetzige Version der Deutschen Bank hat diesen Schreibfehler nämlich nicht!

 

HTML-Mail!

Da das Ding im reinen Text irgendwie nicht so ganz mit dem Betreff zusammenpassen möchte und wohl niemand auf solch einen wirklich sehr verdächtigen Link klicken würde dürfte klar sein, daß die E-Mail wohl in HTML verfaßt wurde und dort ganz anders aussieht. Also schauen wir doch einfach mal nach:

TAN-Liste Deutsche Bank aktualisieren
Screenshot by TmoWizard

Hier wurde für den oberen Teil einfach ein *.png mit Link zu der obigen gefälschten Website verwendet, darunter dann der schon aus der reinen Textversion bekannte Teil mit „Ihre Referenz:“ und meiner E-Mail-Adresse als formatierter Text eingefügt. Der Phisher hat sich dabei nicht einmal die Mühe gemacht und den Link auf den Bereich „Zur Aktualisierung“ beschränkt, sondern gleich das ganze Bild als Link genommen!

Außerdem nehme ich an, daß er hierfür ein originales Dokument der Deutschen Bank verwendet hat. Meisten werden hierfür nämlich vorgefertigte Formulare verwendet, in welche nur noch die entsprechenden Daten eingefügt werden.

 

Sehr geehrter Nichtkunde der Deutschen Bank

Nun hat die E-Mail wie aus dem Screenshot ersichtlich schon den wirklich ganz großen Fehler, daß man nicht einmal persönlich angesprochen wird. Keine Bank würde jemals solche eine unpersönliche Nachricht versenden, man wird vom eigenen Geldinstitut immer mit dem vollen Namen angesprochen! Bei mir sieht die Sache noch einmal ganz anders aus, denn ich bin gar kein Kunde bei der Deutschen Bank! :mrgreen:

Wenn man dann noch wie ich seine E-Mails als reinen Text anzeigen läßt, dann haben solche Typen gleich gar keine Chance mehr. Da in diesem Fall auch noch der dumme Fehler mit der alten E-Mail passierte war natürlich auch vorteilhaft für mich, damit war wirklich alles klar!

 

Mein Fazit:

An dieser Stelle möchte ich wieder einmal darauf hinweisen, daß HTML, Flash, Java, JavaScript und ähnlicher Unfug nichts, aber auch wirklich gar nichts in E-Mails verloren habe! Eine E-Mail sollte man immer in reinem Text betrachten, dann erkennt man auch solch gefälschte Links wie in der eben besprochenen E-Mail sehr leicht und auch entsprechend schädlicher Code wird nicht einfach so ausgeführt.

Zudem möchte ich euch ebenfalls zum wiederholten Mal empfehlen, daß ihr euch ein entsprechendes Sicherheitskonzept zusammenstellt! Der eben verlinkte Ansatz dafür wurde zwar eigentlich für Windows zusammengestellt, gilt im Prinzip aber für alle Betriebssysteme. Nur der Teil mit der Neuinstallation und den Programmen läuft unter Linux anders, da man hier normalerweise seine Programme mit dem Paketmanager seiner Wahl verwaltet!

Solltet ihr außerdem wie ich mit Ubuntu oder einem seiner Derivate unterwegs sein und dazu SeaMonkey oder das Doppel Firefox & Thunderbird verwenden, dann könnt euch gerne zusätzlich noch an mein Tutorial halten. ClamAV ist zwar nicht gerade einer der besten Virenscanner, aber man kann seine Erkennungsrate wie im Tutorial beschrieben mit der richtigen Konfiguration doch gewaltig steigern. Das Tutorial wird demnächst wieder einmal angepaßt, da irgend etwas mit der Schrift nicht stimmt und ich außerdem noch einen Zusatz zu HAVP habe!

Und bitte keine Diskussion von wegen Linux und Virenscanner!

Zur E-Mail selbst kann ich dem Phisher nur mein herzliches Beileid aussprechen, denn mit solch einem absolut mißlungenem Teil hat man bei mir wirklich gar keine Chance, darauf würde ich selbst im Delirium Tremens nicht hereinfallen!

 

Viele Grüße nun aus TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Dieses Werk ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Computer/Internet, Die SeaMonkey Suite, Spam & Co

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.