Ich will bzw. muss wohl mal wieder vor einer Phishing-Masche warnen. Der Abzockversuch kommt per E-Mail und trägt den Titel „E-Mail blockiert“. Ich fand das heute in meinem Web.de-Postfach im „Unbekannt“-Ordner. Die Mail hat folgenden Wortlaut:

Sehr geehrter WEB.DE Benutzer
Wir informieren Sie hiermit, das Sie können keine Nachricht senden oder empfangen, bis Sie Ihren Kontozugriff überprüft haben, Aufgrund einer Aktualisierung unserer Datenbank.
Klicken Sie hier, um Ihre Identität zu identifizieren
Wir bitten dies zu entschuldigen und danke für Ihr Verständnis
Vielen Dank
Ihr WEB.DE Kundenmanagemenet


Der Wortlaut der Mail.

Die „Rächdschraypväler“ und die „krammatikkalüschn Väler“ machten mich neugierig und folglich rief ich zunächst mal den erweiterten Header auf (ist in den meisten Mailprogrammen durch einen leicht zu übersehenden „Info“-Button oder sowas erreichbar). Und was finden wir da?


Der erweiterte Header.

Als Absender zeichnet nicht etwa Web.de, sondern vielmehr eine Wegwerf-Mailadresse „jojo22c@hotmail.com“. Das belegt schonmal, dass diese Mail garantiert nicht vom Portalbetreiber stammt. Auffällig ist aber auch noch der Adressat, nämlich „usernew@server.com“ anstelle meiner eigenen Mailadresse. Ich spekuliere mal: Das weist auf Spamming unter Ausnutzung einer Hintertür oder eines nicht gestopften Sicherheitslochs bei Web.de hin, denn andernfalls hätte mich eine falsch adressierte Mail eigentlich gar nicht erreichen dürfen. Doch ich blieb neugierig und bewegte den Mauszeiger über den Link damit links unten das Linkziel aufpoppt.


Das Linkziel.

Würde die Mail tatsächlich von Web.de stammen dann müsste als Linkziel auch irgendwas mit Web.de auftauchen. Tut es aber nicht. Stattdessen kommt es zu einer Weiterleitung nach „chennainationalhospital.com/images/post/neudt1“ und das hat mit Web.de nun garantiert ganz und gar nichts zu tun! Na gut, dann machen wir doch spaßeshalber mal eine WhoIs-Abfrage dahingehend, wer dahinter steckt.


Mit einem „Hospital“ hat das Linkziel nun wirklich nichts zu tun.

Hinter dem vermeintlichen „Hospital“ bzw. „Krankenhaus“ verbirgt sich ein von jedem mietbarer Domain-Server der Firma Google, welcher in Kalifornien steht, von Toronto in Kanada aus gewartet wird und auf dem ein Seitenbetreiber aus Indien eine Seite als Linkziel abgelegt hat. Damit ist eigentlich schon völlig sonnenklar, was die eingangs angeführte Mail bezweckt: Nämlich das Abzocken von Zugangsdaten! Mit gebotener, hinreichender Vorsicht kann man jetzt selbstverständlich noch weiter recherchieren, indem man auf den Link klickt. Habe ich gemacht.


Firefox warnt vor dem Betrug.

An dieser Stelle spielt es eine rolle, welchen Browser man verwendet. Wenn der Browser – wie im vorliegenden Falle Firefox – eine interne Blacklist beinhaltet, dann wird vor dem Betrugsversuch gewarnt. Allerdings nur dann, wenn besagte Seite anderweitig schon unangenehm aufgefallen ist. Andere Browser warnen nicht und lassen den Zugriff zu. Wenn der zugelassen wird, dann kann über die Webseite u. U. ein Trojaner a la Phish.BOV!MTB zum Abgreifen weiterer Daten installiert werden. An der Stelle habe ich nicht mehr weiter gemacht, denn wozu das alles dient ist sonnenklar.

Werden Banking-Daten abgezockt, dann kann das Konto des Opfers abgeräumt werden. Werden hingegen „nur“ Mailadresse und „nur“ Mail-Login abgegriffen, dann gibt’s verschiedene Varianten. Der Angreifer kann über Identitätsdiebstahl im Namen des Opfers auftreten, das unmöglich machen und darauf basierend eine Erpressung durchführen. Aber: Sehr, sehr viele User verwenden für alles Mögliche nur ein und das gleiche Passwort u. d. h. der Mail-Login ist auch der gleiche Login wie beim Online-Händler. In dem Falle kann es richtig teuer werden!

Funktioniert so: Der Angreifer loggt sich im Namen des Opfers beim Online-Händler ein und bestellt Waren. Rechnungs- und Empfänger-Adresse werden unterschiedlich angegeben; der Empfänger kann prinzipiell irgendwo am Ende der Welt sitzen. Der Rechnungsempfänger – das Opfer! – erhält die Zahlungsaufforderung und weiß von gar nichts. Ihm bleibt nichts anderes übrig als Anzeige zu erstatten. Er hat einen Haufen Ärger am Hals, einerseits mit den Strafverfolgungsbehörden und andererseits mit dem Händler. Es kann gut sein, dass der Händler ihn künftig ausschließt. Der Händler bleibt i. d. R. auf seinen Kosten sitzen, es sei denn, er verfügt über eine Super-Versicherung.

Der lachende Dritte ist der Abzocker, der Betrüger. Der erhält die Waren und kann die so Hehler-mäßig vertickern. Da das Internet international ist befindet er sich außerhalb der zuständigen Gerichtsbarkeit und kann nicht belangt werden. Wer bei den Waren jetzt an Unterhaltungselektronik oder sowas denkt, der denkt zu kurz – auch Edelmetalle (Gold, Platin, Rhodium) und sogar Diamanten werden online gehandelt. Und dann wird’s richtig teuer …

Deswegen, liebe Leute: Passt höllisch genau auf, wo ihr drauf klickt und welche Seiten ihr besucht! Gebt NIEMALS irgendwelche Zugangsdaten an! Phishing basiert auf der Gutgläubigkeit oder der Dummheit unbedarfter Benutzer. Fallt nicht darauf rein!