Phishers Phritz phischt phrische Phische

Vor ein paar Wochen haben wir eine sehr ungewöhnliche Anfrage per Mail erhalten – nämlich ob es möglich ist, Gastbeiträge für unseren Blog zu schreiben. An sich nicht abwegig – aber wenn der Aussender Küchenutensilien vertreibt und sich auf unseren Blogbeitrag zum Thema Injektionsmittel mit dem englischen Titel „patty-cake, patty-cake, patty-cake“  bezieht („truly amazing!“), dann macht uns das doch ein wenig stutzig.

Wir hüllten uns in Schweigen – bis ein paar Wochen später das nächste Mail folgte:

Nun stellte sich uns die Frage: Was passiert, wenn wir antworten? Was, wenn es sich gar nicht um ein phishing-Mail sondern um eine reale Anfrage handelt? Sollten wir dann nicht zumindest so höflich sein, Alamin über seinen Irrtum aufzuklären? Deshalb widmen wir unseren heutigen Blogbeitrag phishing-Mails und wie man am besten mit ihnen umgeht.

*****

Der Begriff phishing stammt (wie könnte es anders sein) aus dem Englischen und ist eine Kombination aus den Worten für „angeln“ (fishing) und „Passwort sammeln“ (password harvesting) – weil nämlich phishing-Mails das Ziel verfolgen, dem Empfänger persönliche Daten (im Optimalfall eben gleich Passwörter) zu entlocken.

Das Ganze gibt es aber natürlich nicht nur in Form von Mails, sondern auch von Webseiten, Kurznachrichten oder ganz retro in Form von Briefen.

Wir haben euch eine Liste unserer lustigsten phishing-Versuche zusammengestellt:

1.) No kangaroos in Australasia!

Ein Brief an meinen Opa von der „Bank von Ost Australasien“ über einen Gewinn von 100 Millionen Dollar. Noch lustiger als der Name des Landes war dabei der Hinweis, dass die Namen der Mitarbeiter aus Datenschutz-Gründen geändert wurden. Seems legit.

2.) God save the Queen Duchess!

Als ich dieses Mail eines schönen Morgens in meinem Posteingang fand, war meine Freude groß – wie oft hat man schon die Möglichkeit, Herzogin Kate (vormals Middleton) aus einer Notsituation zu befreien? Meine Freundin Annemarie ist vor Neid erblasst – sie ist ein großer Fan der Royals.

3.) Mr. & Mrs. Jeffry

Oh Agent Jeffrey! Bitte verzeihen Sie vielmals, dass ich Ihrem ersten Spam-Mail nicht unverzüglich nachgekommen bin!

4.) Ich gewonnen! Ich sehr glücklich!

5.) How lovely

Liebe Kateryna Lovely, irgendwie glaube ich nicht, dass wir die gleichen Hobbies haben, und ein Mann bin ich auch nicht. Aber ich wünsche dir viel Erfolg auf deiner Suche nach einem Partner.

6.) 500.000 Dollar Spende 

Die E-Mail-Adresse wirkt sehr glaubwürdig.

7.) Jackpot!

Die einzige Frage ist: Wieso hat es so lange gedauert, mich zu kontaktieren, Sheryll??

*****

Wir haben unsere Experten gefragt, was man also mit solchen und ähnlichen Anfragen machen soll.

Frage: Ich bekomme ein Mail, das eindeutig phishing ist – was mache ich damit? Ist der Schaden vielleicht schon angerichtet, sobald ich es geöffnet habe?
Antwort: Solange du keine Attachments öffnest, solltest du relativ sicher sein. Dafür darfst du aber natürlich auch keine PDFs oder Word Dokumente etc. öffnen. Wenn nur steht „Ihre Rechnung“ o.ä. und weiter keine Details angegeben sind und nur ein Attachment, ist der Fall ziemlich klar.

Frage: Ich bekomme ein Mail, das zwar etwas dubios wirkt, aber auch echt sein könnte – ist es gefährlich, darauf zu antworten?
Antwort: Im Zweifelsfall eher nicht antworten. Obwohl man sich natürlich auch einen Spaß daraus machen kann. Dazu gibt es einige Youtube-Videos. Es ist also eher nicht gefährlich, sondern Zeitverschwendung.

Frage: Wie kann ich sicherstellen, ob es sich um ein phishing-Mail handelt?
Antwort:

a) Schlechte Grammatik
b) Falscher (gefälschter) Absender – unbedingt im Mailheader überprüfen! Da steht zum Beispiel „Paypal Support <dsfsds@paypal.helpdesk.cn>“, aber dein freundlicher MUA (mail user agent) zeigt Dir nur „Paypal Support“ an, was ja eigentlich recht offiziell klingt
c) Attachments
d) Keine persönliche Anrede, stattdessen „Dear Friend“, „Sehr geehrter Nutzer“, ….
e) Dringender Handlungsbedarf: „Allen, die mir in der nächsten Stunde einen Betrag in Bitcoin schicken, werde ich ihn verdoppeln“ (Das war damals tatsächlich ein Twitter-Hack der Accounts von Warren Buffet, Bill Gates und Elon Musk)

Frage: Was sollte ich auf keinen Fall machen (mal abgesehen davon, meine Kontodaten herzugeben)?
Antwort: Persönliche Daten hergeben und/oder Attachments öffnen

Frage: Was erhoffen sich die Aussender davon?
Antwort: Aussender erhoffen sich dadurch entweder Geld oder Zugang zu einem Rechner, um ein Bot-Netzwerk zu betreiben. Ein Bot-Netzwerk (also ein Netzwerk auf mehreren Rechnern) kann dann folgendermaßen genutzt werden:

  • *) um weitere Phishing- oder Spam-Mails zu versenden, um das Netzwerk zu vergrößern
  • *) um die Rechenleistung meines Rechners nutzen, um für sich selbst Bitcoin Mining zu betreiben
  • *) um Denial of Service-Angriffe durchzuführen, bei denen mehrere 1000e Rechner das Ziel angreifen und somit die normale Funktion lahmlegen. Durch die vielen Quellen lässt sich der Angriff kaum blockieren.


Frage: Soll man solche Mails irgendwo/irgendwie melden?
Antwort: Kann man, zum Beispiel hier: https://www.watchlist-internet.at. Bringt aber vermutlich nicht viel.

*****

Wir hoffen, mit unserem Blogbeitrag ein wenig Licht ins phishing-Dunkel gebracht und auch ein wenig unterhalten zu haben!

*****

PS: Das Gespräch auf unserem Titelbild hat übrigens tatsächlich genau so stattgefunden.

PPS: Alamin hat auf unsere Nachfrage, worüber er denn gerne einen Gastbeitrag schreiben würde, nicht geantwortet.

Anna Riedler

Als der Orientierungssinn vergeben wurde, hatte sich Anna gerade verlaufen. Umso besser, dass ihre Arbeit mit Baustellen nur peripher zu tun hat – sie würde vermutlich nie wieder zurück ins Büro finden. Stattdessen schreibt die studierte Journalistin fleißig Texte für unsere Homepage, unseren Blog, und literaturnobelpreisverdächtige Kurzbeschreibungen.