Knowledge base

Vorsicht Falle! - Phishing-Nachrichten erkennen

Wie Sie Phishing-Nachrichten erkennen

Die aktuellen Berichte von BSI und DsiN zeigen es deutlich: Die Zahl der Angriffe und Angriffsversuche steigt steil an. Phishing ist dabei eine der häufigsten Angriffsmethoden. Aber wie erkennen Sie eine Phishing-Mail oder ein Pishing-Nachricht über einen Messenger-Dienst überhaupt?

Wenn Sie einen Text bekommen…

  • der einen vermeintlich dringenden Handlungsbedarf vorgibt,
  • mit unangenehmen Konsequenzen droht,
  • Sie auffordert, vertrauliche Daten wie PIN oder Passwort mitzuteilen
  • Links enthält, mit der Auffroderung hier die eigenen Daten zu aktualisieren
  • oder Formulare enthält,
  • von einer vermeintlich bekannten Person stammt, aber mit einem ungewöhnlichen Anliegen kommt

dann handelt es sich mit einiger Wahrscheinlichkeit um einen Phishing-Versuch.

Ein Beispiel:

    Betreff: Article Contribution on your internet site
    Datum: Donnerstag, 23. September 2022 15:31 CEST
    Von: "Jason Underwood" jasonund@wizrardtraffic.com 
    An: ...@psychologie.uni-heidelberg.de
    Hi,
    We still watching for your response
    We need to publish an editorial on your website
    psychologie.uni-heidelberg.de. In the article we need an anchor
    textual content that will be related to the finance/education
    website, are you able to please allow us to realize how much your
    rate is for this service?
    I stay up for your message and want you a pleasing day

Was kann man daran erkennen?

  • Der Absender ist ein "Jason Underwood". Vermutlich kennen Sie diese Person nicht.
  • Die E-Mail ging wahllos an öffentlich einsehbare Adressen.
  • Die Email ist auf Englisch geschrieben. Englische Nachrichten sind von einer Deutschen Firma eher selten.
  • Die Ansprache ist "Hi", nicht etwa "Dear Sir or Madam" oder irgend etwas anderes höfliches. Die Ansprache ist vor allem ungerichtet, sodass man von einem Massenversand ausgehen kann. "Hi" passt ja auf jeden, "Sehr geehrte Frau ..." nur auf eine spezifische Person. Spam ist ein massenhafter Versand von Mails, das geht schlechter, wenn man die Leute direkt anspricht, daher wählen Spammer meist eine Anrede, die auf viele Menschen passt.
  • Das Englisch ist ziemlich schräg (Das muss nicht so sein, aber es fällt hier auf): "I stay up for your message and want you a pleasing day"
  • Der Ton ist auffordernd, jedoch bleibt unklar, was der Absender will. Das ist ein subtiler Hinweis, der LeserInnen unter Druck setzt soll, sodass sie antworten und fragen, was der Absender möchte – das ist genau was der Absender will, weil er die Leser dann an der Angel hat und vor allem seine Bewertung besser geworden ist (er hat ja jetzt die Info, dass auf dieser E-Mail-Adresse jemand erreichbar ist).

Es gibt keinen automatischen Schutz vor solchen Nachrichten.  Es gilt grundsätzlich:

  • Lassen Sie sich nie unter Druck setzen.
  • Hören Sie auf Ihr Bauchgefühl und lassen im Zweifel die Mail einen Tag liegen.
  • Klicken Sie keine Links in Mails an, die irgendwie suspekt sind. Das Bundesamt für Sicherheit in der Informationstechnik kurz BSI rät zu gesundem Misstrauen und empfiehlt Verbraucherinnen und Verbrauchern zum Beispiel, jeden Link in Nachrichten vor einem Aufruf sorgsam zu prüfen.
  • Öffnen Sie Anhänge nur mit großer Vorsicht. Fragen Sie beim leisteten Zweifel beim Absender nach bevor Sie Anhänge öffnen. In Office-Dokumenten, die Sie per E-Mail bekommen, keine Makros aktivieren. Wenn eine PDF-Datei nach dem Öffnen Administrationszugang möchte, dann hat der Rechner ein Problem mit Schadsoftware.
  • Antworten Sie nicht auf derartige Mails.
  • Prüfen Sie, ob es aktuelle Warnungen zu Ihrer E-Mail gibt beim Phishing-Radar der Verbraucherschutzzentral Deutschland. Alternativ bei der Internet Ombudsstelle Österreich.

Ein zweites Beispiel:

   Subject:     eingehende Nachricht vom Sekretariat des Rektors der Universität Heidelberg
   Date:     Fri, 7 Oct 2022 11:07:42 +0000
   From:     Marcos Fernando Severo De Oliveira <marcos.oliveira17@unisul.br>

   Hallo

   Sie haben eine eingehende Nachricht vom Sekretariat des Rektors der Universität Heidelberg 
   Prof. Dr. Dr. h.c. Bernhard Eitel, zum Lesen bitte hier klicken

   Vielen Dank.Sekretariat des Rektors der Universität Heidelberg

Was kann man daran erkennen?

  • Der Absender hat keine Adresse der Universität Heidelberg. Achtung: Bei Mail-Programmen auf dem Smartphone wird meist nur der Name angezeigt, wenn Sie auf den Namen tippen, wird die Adresse vollständig angezeigt.
  • Die Nachricht ist in einem Link verborgen. Wenn man auf im Browser die Maus auf den Link schiebt, aber nicht klickt, dann sieht man wohin der Link zeigt (geht leider nicht auf Smartphones).

Ein drittes Beispiel:

   Return-Path:     <xxx@psychologie.uni-heidelberg.de>
   Received:     from lmtpproxyd (cyrus-portal02.urz.uni-heidelberg.de [129.206.100.98]) by cyrus5 with LMTPA; Mon, 24 Oct 2022 17:29:29 +0200
   X-Sieve:     CMU Sieve 2.4
   Received:     from ix.urz.uni-heidelberg.de ([unix socket]) by cyrus-portal02 with LMTPA; Mon, 24 Oct 2022 17:29:29 +0200
   Received:     from relay2.uni-heidelberg.de (relay2.uni-heidelberg.de [129.206.119.212]) by ix.urz.uni-heidelberg.de (Postfix) with ESMTPS id C66FC217C5CA for    <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 17:29:29 +0200 (CEST)
   Authentication-Results:     relay2.uni-heidelberg.de; dkim=none (message not signed) header.i=none; spf=None smtp.pra=xxx@psychologie.uni-heidelberg.de; spf=Fail smtp.mailfrom=xxx@psychologie.uni-heidelberg.de; spf=None smtp.helo=postmaster@mail.estrada.co.id
   Received-SPF:     None (relay2.uni-heidelberg.de: no sender authenticity information available from domain of xxx@psychologie.uni-heidelberg.de) identity=pra; client-ip=202.134.4.220; receiver=relay2.uni-heidelberg.de; envelope-from="xxx@psychologie.uni-heidelberg.de"; x-sender="xxx@psychologie.uni-heidelberg.de"; x-conformance=sidf_compatible
   Received-SPF:     Fail (relay2.uni-heidelberg.de: domain of xxx@psychologie.uni-heidelberg.de does not designate 202.134.4.220 as permitted sender) identity=mailfrom; client-ip=202.134.4.220; receiver=relay2.uni-heidelberg.de; envelope-from="xxx@psychologie.uni-heidelberg.de"; x-sender="xxx@psychologie.uni-heidelberg.de"; x-conformance=sidf_compatible; x-record-type="v=spf1"; x-record-text="v=spf1 mx -all"
   Received-SPF:     None (relay2.uni-heidelberg.de: no sender authenticity information available from domain of postmaster@mail.estrada.co.id) identity=helo; client-ip=202.134.4.220; receiver=relay2.uni-heidelberg.de; envelope-from="xxx@psychologie.uni-heidelberg.de"; x-sender="postmaster@mail.estrada.co.id"; x-conformance=sidf_compatible
   X-Ironport-Dmarc-Check-Result:     validskip
   X-IronPort-MID:     170585214
   X-IronPort-RemoteIP:     202.134.4.220
   X-IronPort-SenderGroup:     SUSPECTLIST
   X-IronPort-MailFlowPolicy:     THROTTLED
   X-IronPort-Reputation:     -2.8
   X-IronPort-Threat:     True
   X-IronPort-Anti-Spam-Filtered:     true
   Subject:     Wichtig!
   X-IronPort-Threat:     True
   X-IronPort-AV:     E=Sophos;i="5.95,209,1661810400"; d="scan'208,217";a="170585214"
   X-MGA-submission:     MDEN2kPbgmGNnF+/jUp/KCdEo3R2Qe+eqYlPmh9iMFzYi9G28K/aX0OYxttARHT1icIc2EufClVZ5MHfzUEgRdV+mVtMxSus54+zQDEBADwNQwkv0fNXqDMRhSiEFaoyl6DXdfFD4RtehHzTJUonMKBS6wKukHVBRDQlSqwQgxd4Ig==
   Received:     from mail.estrada.co.id ([202.134.4.220]) by relay2.uni-heidelberg.de with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; 24 Oct 2022 17:29:29 +0200
   Received:     from localhost (localhost [127.0.0.1]) by mail.estrada.co.id (Postfix) with ESMTP id 8E9EA2066BF2F for <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 21:29:37 +0700 (WIB)
   Received:     from mail.estrada.co.id ([127.0.0.1]) by localhost (mail.estrada.co.id [127.0.0.1]) (amavisd-new, port 10032) with ESMTP id xw8r146yNHsv for <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 21:29:35 +0700 (WIB)
   Received:     from localhost (localhost [127.0.0.1]) by mail.estrada.co.id (Postfix) with ESMTP id 19067202FA31B for <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 20:03:44 +0700 (WIB)
   X-Virus-Scanned:     amavisd-new at estrada.co.id
   Received:     from mail.estrada.co.id ([127.0.0.1]) by localhost (mail.estrada.co.id [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id nnjLeg89xyJO for <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 20:03:43 +0700 (WIB)
   Received:     from t-online.de (unknown [51.140.231.1]) by mail.estrada.co.id (Postfix) with ESMTPSA id 1146D202D5FA8 for <xxx@psychologie.uni-heidelberg.de>; Mon, 24 Oct 2022 19:12:48 +0700 (WIB)
   From:     xxx@psychologie.uni-heidelberg.de
   To:     xxx@psychologie.uni-heidelberg.de
   Date:     24 Oct 2022 12:12:48 +0000
   Message-ID:     <20221024121248.93D23D0C8EFE4833@psychologie.uni-heidelberg.de>
   MIME-Version:     1.0
   Content-Type:     text/html; charset="iso-8859-1"
   Content-Transfer-Encoding:     quoted-printable

   Hallo!

   Leider habe ich eine unangenehme Nachricht für Sie.
   Vor ungefähr einigen Monaten habe ich es geschafft, einen vollständigen Zugriff auf alle Geräte zu erhalten, die Sie zum Surfen im Internet verwenden.
   Danach habe ich mit der Überwachung aller Ihrer Internetaktivitäten fortgefahren.

   Sie können die Abfolge der Ereignisse unten zusammenfassen:
   Früher habe ich von Hackern einen speziellen Zugang zu verschiedenen E-Mail-Konten gekauft (derzeit ist es eine ziemlich einfache Sache, die online erledigt werden kann).
   Natürlich könnte ich mich auch mühelos in Ihr E-Mail-Konto einloggen (xxx@psychologie.uni-heidelberg.de).

   Eine Woche später habe ich damit fortgefahren, einen Trojaner-Virus in den Betriebssystemen all Ihrer Geräte zu installieren, die von Ihnen verwendet werden, um sich bei Ihrer E-Mail anzumelden.
   Eigentlich war das ziemlich einfach (weil Sie zuvor einige Links aus Ihren Posteingangs-E-Mails geöffnet haben).
   Genialität liegt in der Einfachheit.

   Dank dieser Software kann ich auf alle Controller in Ihren Geräten zugreifen (wie Ihre Videokamera, Ihr Mikrofon, Ihre Tastatur usw.).
   Ich könnte alle Ihre Daten, Fotos, den Browserverlauf und andere Informationen problemlos auf meine Server herunterladen.
   Ich kann auf alle Ihre Konten in sozialen Netzwerken, Messenger, E-Mails, einschließlich des Chatverlaufs sowie der Kontaktliste zugreifen.
   Dieser Virus von mir aktualisiert unaufhörlich seine Signaturen (da er von einem Treiber gesteuert wird) und bleibt dadurch von Antivirensoftware unbemerkt.

   Hiermit glaube ich, dass es Ihnen zu diesem Zeitpunkt bereits klar ist, warum ich nie entdeckt wurde, bis ich diesen Brief abschickte...

   Bei der Zusammenstellung aller Sie betreffenden Informationen habe ich auch herausgefunden, dass Sie ein echter Fan und häufiger Besucher von Websites für Erwachsene sind.
   Sie genießen es wirklich, durch Porno-Websites zu stöbern, während Sie sich erregende Videos ansehen und eine unvorstellbare Befriedigung erleben.
   Um ehrlich zu sein, konnte ich nicht widerstehen, einige Ihrer versauten Solo-Sessions aufzunehmen und in mehreren Videos zusammenzustellen, die Sie am Ende beim Masturbieren und Abspritzen demonstrieren.

   Wenn Sie mir immer noch nicht vertrauen, brauche ich nur einige Mausklicks, um all diese Videos an Ihre Kollegen, Freunde und sogar Verwandte zu verteilen.
   Darüber hinaus kann ich sie online hochladen, damit die gesamte Öffentlichkeit darauf zugreifen kann.
   Ich glaube wirklich, dass Sie absolut nicht wollen, dass solche Dinge passieren, wenn Sie bedenken, dass die versauten Dinge, die in diesen Videos gezeigt werden, die Sie normalerweise sehen, (Sie verstehen definitiv, was ich versuche zu sagen) für Sie zu einer kompletten Katastrophe führen werden .

   Wir können es immer noch auf folgende Weise lösen:
   Sie führen eine Überweisung von 1400 EUR an mich durch (ein Bitcoin-Äquivalent basierend auf dem Wechselkurs während der Überweisung), also werde ich, nachdem ich die Überweisung erhalten habe, sofort alle diese geilen Videos ohne zu zögern entfernen.

   Dann können wir so tun, als wäre es noch nie passiert. Darüber hinaus versichere ich, dass alle schädliche Software deaktiviert und von allen Ihren Geräten entfernt wird. Keine Sorge, ich stehe zu meinem Wort.
   Es ist wirklich ein gutes Geschäft mit einem beträchtlich niedrigen Preis, wenn man bedenkt, dass ich Ihr Profil und Ihren Verkehr über einen längeren Zeitraum überwacht habe.
   Wenn Sie den Kauf- und Übertragungsprozess von Bitcoins immer noch nicht kennen, können Sie nur die notwendigen Informationen online finden.

   Meine Bitcoin-Wallet ist wie folgt: 1KKPKJHzkeT1VKLfo4AvmNffvrsRjrsYWV

   Ihnen bleiben 48 Stunden und der Countdown beginnt direkt nach dem Öffnen dieser E-Mail (2 Tage um genau zu sein).

   Vergessen Sie nicht, Folgendes zu beachten und zu unterlassen:
   * Versuchen Sie nicht, auf meine E-Mail zu antworten (diese E-Mail wurde zusammen mit der Absenderadresse in Ihrem Posteingang generiert).
   * Versuchen Sie nicht, die Polizei oder andere Sicherheitsdienste anzurufen. Denken Sie außerdem nicht einmal daran, es mit Ihren Freunden zu teilen. Wenn ich davon erfahre (aufgrund meiner Fähigkeiten wäre das sehr einfach, da ich alle Ihre Systeme unter meiner Kontrolle und ständigen Überwachung habe) - wird Ihr schmutziges Video ohne Verzögerung veröffentlicht.
   * Versuchen Sie nicht, nach mir zu suchen – es ist völlig nutzlos. Kryptowährungstransaktionen bleiben immer anonym.
   * Versuchen Sie nicht, das Betriebssystem Ihrer Geräte neu zu installieren oder sie gar zu entfernen. Es ist auch bedeutungslos, da alle Ihre privaten Videos bereits auf Remote-Servern verfügbar sind.

   Dinge, über die Sie sich Sorgen machen sollten:
   * Dass ich die von Ihnen getätigte Überweisung nicht erhalte.
   Entspannen Sie sich, ich kann es sofort nachverfolgen, nachdem Sie die Überweisung abgeschlossen haben, weil ich alle Aktivitäten, die Sie tun, ununterbrochen überwache (mein Trojaner-Virus kann alle Prozesse fernsteuern, genauso wie TeamViewer).

   * Dass ich deine Videos noch vertreibe, nachdem du mir das Geld geschickt hast.
   Glauben Sie mir, es ist sinnlos, Sie danach weiter zu belästigen. Abgesehen davon, wenn das wirklich meine Absicht gewesen wäre, wäre es längst passiert!

   Alles wird zu fairen Konditionen abgewickelt!

Was kann man daran erkennen?

  • Hier sieht man den vollständigen Kopf der Mail mit allen Informationen, wie Sie der Mailserver versendet (diese Zeilen kann man in fast jedem Mailprogramm einschalten). Man beginnt diese Zeilen von unten her zu lesen und sieht an der erste Zeile mit "Received", dass die Mail nicht von einem Server Uni-Heidelberg versendet wurde, also ist die Behauptung des Absenders, dass das Mailkonto gehackt wurde, schonmal falsch.
  • Die Behauptungen in der Nachricht sind recht allgemein, versuchen jedoch wegen der vermeintlichen Peinlichkeit intimer Videos enorm Druck aufzubauen.

Weitere Tipps des BSI zu Phishing-Mails und -Webseiten: https://www.bsi.bund.de/dok/132200

Um Ihr Bewusstsein gegenüber den Techniken von Hackern zu schärfen, empfehlen wir den folgenden Artikel: Wir sind alle Manipulierbar.

 


Topics

All topics