Sicherheit: Maßnahmen gegen Phishing

Password fishing, kurz Phishing, nennt sich eine üble Betrugsmasche im Internet. Gefälschte Mails angeln nach Kennwörtern der Kunden von Banken oder Auktionshäusern. Dieser Beitrag zeigt, wie Sie Phising erkennen und was Sie dagegen unternehmen können.

Die Mail vom 13. Februar 2005 klingt plausibel: Ebay schreibt, dass die Kontoinformationen nicht mehr aktuell sind. Kein Wunder. Nach dem Umzug stimmen die Daten in der Tat nicht mehr. Also flugs den Link anklicken – billing.ebay.com. Es öffnet sich eine Ebay-Seite mit Logo und einem Eingabeformular. Ein Klick auf Help führt tatsächlich zur Ebay-Hilfe und beim Laden erscheint sogar das störende Popup-Fenster mit Ebay-Werbung. Also schnell die neuen Daten eingeben und speichern.

Reingefallen! Wer auf solche Mails reagiert und seine Daten eingibt ist im Handumdrehen eine Menge Geld los. Denn erst auf den zweiten Blick erweist sich die aufgerufene Seite als perfider Betrugsversuch: Zwar ist der Link als http://billing.ebay.com beschrieben, aber in Wirklichkeit leitet er den Benutzer auf http://ebay-uqdate.com. ((Das q ist kein Schreibfehler)) Beim flüchtigen Blick auf die URL bemerkt der Nutzer die Falle nicht und schenkt der Site Vertrauen. Die Grafiken und Links sind von der Original-Ebay-Seite geklaut, die Links zu Ebay sollen das Gefühl vermitteln, man befände sich tatsächlich auf der richtigen Seite.

Doch das täuscht. Wer Benutzernamen und Kontoinformationen eingibt, ist verloren. Denn diese Angaben fallen in die Hände der Betrüger, die damit in Ihrem Namen Ware gegen Vorkasse verkaufen – und niemals liefern. Oder sie holen sich mit Hilfe der eingegebenen Kreditkarteninformationen Geld direkt vom Konto des Opfers.

Die Phishing-Seiten verschwinden oft nur nach wenigen Stunden oder Tagen wieder – aber bis dahin haben sie genügend Opfer gefunden.

Auch Bankkunden betroffen

Phishing ist kein spezielles Ebay-Problem. Die Gauner versuchen ebenso gerne, Kunden von Banken oder großen Versendern abzuzocken. Generell gilt: Je populärer ein Dienst ist, desto wahrscheinlicher sind Phishing-Versuche bei deren Kunden. Je mehr Kunden ein solcher Dienst hat, desto höher die Prozentzahl der passenden Empfänger.

Im vergangenen Sommer kursierte eine angebliche Mail der Citibank, die ihre Kunden zur Eingabe von Daten bewegen sollte. Man möge doch seine Daten bestätigen, sonst wäre der Zugang zum Konto nicht mehr möglich. Solche Aussagen sollen die Opfer unter Druck setzen, damit diese auch wirklich schnell – und vor allem ohne nachzudenken – reagieren. Dann soll der Kunde seine PIN und dazu eine TAN als Bestätigung eingeben. Für die Gauner ist das schon genug — PIN und eine TAN reichen, um das Konto im Nu ordentlich zu erleichtern.

Phishing ist überall

Phising ist nicht allein auf englischsprachige Anbieter beschränkt. So berichten die Volks- und Raiffeisenbanken ebenso von Betrugsversuchen wie die Postbank. Die Betrüger setzen auf Masse. Für sie spielt es gar keine Rolle, dass 99 Prozent der Empfänger vielleicht gar nicht Kunden bei einem Unternehmen sind.

Denn bei einer millionenfach versendeten Mail ist auch das übrig bleibende Prozent interessant. Und wenn davon ein weiteres Prozent auf die Phishing-Mail hereinfällt haben die Betrüger ihr Geschäft gemacht.

Die Anatomie einer Phishing Mail

Den Großteil der Phishing-Mails erkennt man auf den ersten Blick. In der Regel haben diese Nachrichten keine persönliche Ansprache mit Namen und Vornamen. Die Texte sind allgemein gehalten. Meist versuchen sie, das Opfer zu raschem Handeln zu verleiten: Das Konto wird gesperrt oder der Ebay-Account ist nicht mehr erreichbar. Konto- oder Kundennummer kommen nicht vor. Und wenn, dann sind sie in der Regel gefälscht. Vielen deutschsprachigen Phishing-Mails sind Rechtschreib- und Grammatikfehler gemeinsam. Auch die englischsprachigen Mails sind nicht immer korrekt geschrieben. Die Gründe liegen entweder darin, dass die Absender die Sprache nicht richtig beherrschen oder dass sie Spam-Filter umgehen, die nach Zeichenketten wie „update your account“ fahnden.

Der Hyperlink in der Phishing-Mail lässt sich in den meisten Fällen leicht enttarnen. Einfach den Mauszeiger darüber führen und in die Statusleiste des Mail-Programms schauen. Hier erscheint dann die tatsächliche Adresse des Hyperlinks. Auch nach dem Anklicken des Links erscheint im Browser eine andere Adresse als in der Mail.

Diese Adressen sind meist so konstruiert, dass sie auf den ersten, flüchtigen Blick als echt erscheinen. Beliebte Methode: Statt eines Punktes in der URL steht dort ein Bindestrich, zum Beispiel wie in schon beschriebenen Phishing-Mail:

http://ebay-uqdate.com

Oder man versucht es mit langen Domainnamen, deren Anfang echt aussieht, wie

http://signin.ebay.com.blabla.xyz.zz/

Oft sollen besonsers echt aussehende Hyperlinks den Zweck der Mail unterstreichen, etwa:

https://www.paypal.com/fraudcheck/secure/bill.html?sl=070304

Hinter dieser Adresse war natürlich keineswegs Paypal zu erreichen, sie führte schnurstracks auf einen Phishing-Server.

Ein beliebter Trick ist, die Web-Adresse der echten Anbieter im „title“-Tag eines Hyperlinks unterzubringen. Steht der Mauszeiger über dem Link erscheint dann diese Adresse und soll suggerieren, dass der Link an die richtige Stelle führt.

Besonders raffiniert sind Phishing-Mails, die bekannte Schwächen auf den Servern der Opfer nutzen. Hier ist es über eine Sicherheitslücke möglich, in der URL übergebenen Javascript-Code direkt beim Aufruf ausführen zu lassen. So erscheint unten in der Statusleiste zwar die echte Adresse, beim Anklicken wird die Seite auch geladen, jedoch tritt sofort das Javascript in Kraft und leitet das Opfer auf seine eigene Seite um.

Spätestens auf der Website selbst sollte man bemerken, dass es sich um Phishing handelt. Ein Blick auf die URL genügt – meistens. Denn die Phisher können auch die überschreiben. So wurde von Versuchen berichtet, die URL mit dynamischen HTML zu überblenden. Der Trick lässt sich aber leicht entlarven, indem man das Fenster des Internet Explorer verkleinert oder vergrößert.

Weitere Phishing-Attacken

Längst ist Phishing nicht mehr auf das Ergaunern von Daten über Eingabefelder aus. Die Anti-Phishing Working Group (www.antiphishing.org) berichtet von einer neuen Masche. Dabei werden vermeintlich harmlose Aktionen vom Benutzer verlangt, etwa das Herunterladen einer Anwendung, um darin eine Adresse einzutragen. Ist diese Anwendung jedoch erst einmal geladen und gestartet, hat sich das Opfer einen Datenspion eingefangen, der Tastatureingaben mitschreibt und an den Server der Betrüger schickt — auch ein Weg, um an Informationen zu kommen.

Eine ähnliche Mail ging vergangenen November ins Netz und versuchte ihr Glück bei Telekom-Kunden. Eine fiktives Buchungskonto im Betreff und eine echt wirkende Nachricht sollten den Kunden verleiten, seine Rechnung online abzurufen. Ein guter Versuch. Denn auch Kunden, die ihre Rechnung nicht online abrufen, wundern sich über so eine Mail und klicken auf den Link – was soll schon passieren? Nichts, wenn das Phishing-Opfer ein aktuelles und abgesichertes Windows hat. Aber wehe dem, dessen Windows Sicherheitslücken aufwies: Der fing sich einen Trojaner ein, der fleißig Daten sammelte.

Vorsicht geboten ist bei anderen Mails, die ebenfalls Telefonrechnungen nachempfunden sind. Ein hoher Rechnungsbetrag soll den Empfänger verleiten, einen einen vermeintlichen „Einzelverbindungsnachweis“ als Dateianhang zu öffnen. Auch dahinter steckt ein Trojaner. Diese Masche fällt allerdings schon nicht mehr unter die Rubrik „Phishing“.

Mittel gegen Phishing-Versuche

Wichtig zu wissen: Kein Unternehmen wird sich per E-Mail mit Ihnen in Verbindung setzen, wenn es um Kreditkarten oder Konten geht. Schließlich geht es hier um hoch sensible Informationen. Solche Informationen und Anfragen kommen, wenn überhaupt, per Brief. Sobald also eine solche Mail bei Ihnen auftaucht, ignorieren Sie diese.

Falls Sie dennoch der Ansicht sind, dass die Mail echt ist und von der Bank oder dem Dienstleister kommt, dann rufen Sie dort an. Aber Achtung: Wählen Sie nicht die Nummer, die möglicherweise in der Mail steht. Die kann gefälscht sein oder zu einem überteuerten 0190-Dienst führen.

Um die Telefonnummer des Unternehmens herauszufinden, sehen Sie auf der Homepage der Firma nach. Geben Sie dazu die Internet-Adresse der Firma von Hand in Ihren Browser ein. Klicken Sie keinesfalls einen Link in der E-Mail an.

Werkzeuge gegen Phising

Ein gutes Mittel gegen Phishing-E-Mails von Ebay ist die Ebay-Toolbar. Dieses Programm gibt grünes Licht, wenn Sie sich wirklich auf der Ebay-Homepage befinden: In diesem Fall leuchtet das Feld „Sicherheitscheck“. Bei allen anderen Web-Sites, bleibt die Toolbar grau.

Um die Toolbar zu installieren, geben Sie www.ebay.de/toolbar ein. Sie werden danach umgeleitet zur Installationsseite. Dort auf „Kostenlos installieren“ und gleich danach auf „Ausführen“ klicken. Nach dem Download nochmals „Ausführen“ anklicken und die Installation geht los. Im Verlauf der Einrichtung können Sie Ihre Kennwörter für Ebay und Paypal eingeben – das soll zusätzlich gegen betrügerische Seitenumleitungen helfen, die Ihre Ebay-Daten ergaunern wollen. Nach der Installation erscheint die Toolbar als Symbolleiste in Ihrem Internet Explorer.

Allerdings hat diese Toolbar gleich mehrere Nachteile — sie funkoniert nur mit Ebay, sie nimmt Platz im Browserfenster weg und sie arbeitet nur mit dem Internet Explorer.

Für User des immer populärer werdenden Firefox eignet sich der Spoofstick. Der zeigt in einer eigenen Symbolleiste ziemlich groß den aktuell angewählten Web-Server. Um den Spoofstick zu installieren, starten Sie Firefox und wählen das Menü „Extras/Erweiterungen“. Dann klicken Sie auf „Erweiterungen herunterladen“ und wählen aus der Rubrik „Privacy and Security“ den Eintrag „Spoofstick 1.03“. Nach einem Klick auf „Install“ und einem weiteren auf Jetzt installieren wird das Plugin installiert. Nach einem Neustart tritt es auch in Aktion. Nachteil des Spoofstick: er nimmt ziemlich viel Platz im Browserfenster weg.

Andere Programme wie Norton Internet Security versuchen ebenfalls Phishing-Mails zu erkennen. Dabei analysieren Sie den Mailinhalt auf Links und deren Beschreibung. Findet sich in der Beschreibung eine andere URL als im Link, bestärkt das den Phishing-Verdacht.

Ein weiteres, gutes Mittel gegen Phishing ist ein Spam-Filter. Denn die Charakteristik vieler Phishing-Mails gleicht denen der Spam-Nachrichten. Die Absender sind gefälscht, die Empfängeradresse bestehen meist nur aus dem Adressteil, zum Beispiel „mmuster@foo.bar“ — bei echten Mails würde der Name des Empfängers mit dabei stehen, etwa

Max Muster <mmuster@foo.bar>

Auch das Absendedatum sowie der Inhalt der Mail kann Hinweise geben, die jeder gut trainierte Spam-Filter gerne aufnimmt.

Grunsätzlich sinnvoll gegen Phishing ist es, im E-Mail-Programm die HTML-Ansicht von Mails und auch die Ausführung von Javacripts auszuschalten. Am besten verwenden Sie statt der anfälligen Kombination aus Outlook Express und Internet Explorer die stabilere Variante mit Firefox und Thunderbird. Ohne HTML-Darstellung sehen viele Phishing-Mails schon gar nicht mehr so echt aus.

Fazit

Viele Benutzer des Internet machen es Phishing-Betrügern zu einfach. Denn sie bringen dem Medium Internet zu hohes Vertrauen entgegen. Mag es am mangelnden technischen Verstand liegen oder an der Hektik im Arbeitstag. Viel zu schnell werden Mails gelesen, Anhänge geöffnet und Links angeklickt. Und schon ist es passiert.

Im Internet hilft nur gesundes Misstrauen. Trauen Sie keiner E-Mail. Öffnen Sie keine Anhänge ohne aktivierten Virenscanner und sehen Sie sich immer genau an, auf welcher Website sie gerade sind. Denn die Angler lauern überall. Das Netz ist nicht sicher und es wird auch in Zukunft nicht sicher sein, so lange es noch Benutzer gibt, die sorglos mit dem Netz arbeiten.

Lesen Sie hier weiter: E-Mail an die richtige Adresse senden