Wie Phisher E-Mail-Konten stehlen

6 Sep 2019

Die gute alte E-Mail ist nicht das aufregendste Angebot in der digitalen Welt, aber inmitten jeder Menge neuer Apps und Dienste (Instant Messenger, soziale Netzwerke) bewährt sie sich als wesentliches Tool im modernen Alltag. Die meisten von uns sind quasi dazu verpflichtet, die guten alten E-Mails zu nutzen, zumindest, um in all den genannten Diensten, Apps und sozialen Netzwerken ein neues Konto einrichten zu können.

Durch diese Notwendigkeit sind E-Mail-Logins ein begehrtes Ziel für Angreifer. In diesem Post werden wir erklären, wie einige Gauner durch Phishing an sie herankommen.

Informationen zu den häufigsten Tricks zum Hacken von E-Mails

Phishing-Mails – die häufigsten Taktiken zum Hacken von E-Mails

Die meisten Betrugsmails zum Stehlen von E-Mail-Loginnamen und -passwörtern sehen wie Nachrichten von dem Dienst aus, den wir für E-Mails benutzen. Wenn Phisher Heimnutzer im Visier haben, imitieren sie beliebte Webmail-Dienste; und wenn sie versuchen, Unternehmenskonten zu hacken, gegeben sie vor, dass sie der E-Mail-Dienst Ihres Unternehmens sind. In diesem Fall ist der Sender einfach der Mail-Server.

Verbreitete Mail-Dienste werden häufiger imitiert. Betrüger versuchen, solche Mails so überzeugend wie möglich zu gestalten. Das Betrugs-Toolkit sieht standardmäßig so aus: eine Senderadresse, die der echten sehr ähnlichsieht, Logos, Kopf- und Fußzeilen, Links zu offiziellen Ressourcen, ein plausibles Layout usw.

Beispiel einer Phishing-Mail-Warnung zu einer bevorstehenden Kontolöschung

Phishing-Mails drohen Benutzern damit, ihr Konto zu löschen

Im Fall der Unternehmenskonten senden Betrüger oft Phishing-Mails, die als Nachrichten vom Unternehmensserver oder von öffentlichen E-Mail-Diensten getarnt sind, an gemeinsame Adressen (einschließlich derer, die von Administratoren verwendet werden), jedoch erreichen solche Mails manchmal die Mailboxen einzelner Mitarbeiter, deren Adressen irgendwie im Spam-Datenbanken gelandet sind.

Unternehmen, die ernst genommen werden möchten, insbesondere Großunternehmen, verwalten ihre eigenen E-Mail-Server. Diese Logins und Passwörter für solche Konten sind auch für Angreifer verlockend. Ihre Nachrichten verraten sich selbst oft durch ihre alles andere als perfekte Erscheinung: Senderadressen von freien Webmail-Diensten, Rechtschreibfehler usw. Aber auch solche Mails können von unerfahrenen Mitarbeitern für echte Mails gehalten werden.

Beispiel einer Phishing-Mail-Warnung zu überschrittenem Speicherkontingent

In dieser Mail wird eine Warnung zu überschrittenem Kontingent von den Phishern imitiert

Im Fall von gezielten Angriffen auf bestimmte Organisationen sammeln die Betrüger für gewöhnlich zuvor so viele Informationen über das Unternehmen wie möglich, damit ihre Mails so überzeugend wie möglich wirken. Für einen Hauch von Glaubwürdigkeit und Einzigartigkeit können sie die E-Mail-Adressen der Opfer in Phishing-Hyperlinks integrieren, sodass die Adresse bereits vorhanden ist, wenn die falsche Seite besucht wird, und dann nur noch das Passwort eingegeben werden muss.

Varianten von Phishing-Mails

Einfacher Text mit Informationsanforderungen

Betrüger kontaktieren einfach Benutzer im Auftrag von Maildiensten unter verschiedenen Vorwänden und fordern sie dazu auf, ihnen E-Mail-Adressen, Passwörter und andere Informationen zu senden. Benutzer werden für gewöhnlich darum gebeten, einer E-Mail-Adresse zu antworten, die sich von der des Senders unterscheidet.

Diese Art von Phishing-Mail war recht verbreitet, bis Betrüger effektivere Methoden zum Diebstahl von persönlichen Informationen fanden.

Beispiel einer Phishing-Mail mit einer Anforderung des Benutzer-Kontopassworts

Phishing-Mail mit einer Textanforderung für Kontoinformationen, einschließlich Passwort. Senden Sie niemals etwas als Antwort auf eine solche Anforderung

Mail mit einem Link zu einer Phishing-Webseite

Phishing-Nachrichten mit Links sind derzeit der häufigste Typ. Betrüger können unzählig viele vorgenerierte Links nutzen, sie von Mail zu Mail in derselben Rundmail variieren, Phishing-Seiten erstellen, die der legitimen sehr ähnlich sehen und eine Sammlung und Verarbeitung von gestohlenen Daten automatisieren.

Aber diese Links verraten deutlich einen Betrug, da sie zu Domänen führen, die keine Beziehung zu den angeblichen Organisationen haben, oder Domänennamen verwenden, die falsch geschrieben sind und wie die legitime aussehen sollen. Daher versuchen Angreifer, die Adressen, zu denen ihre Links führen, zu verbergen. Das erreichen sie durch anklickbaren Text oder Bilder, die mit einem Hyperlink unterlegt sind. Solche Textlinks können Formulierungen wie „Aktualisieren Sie Ihre Mailbox“ enthalten. In anderen Fällen kann der Textteil des Links eine reale Maildienstadresse zeigen, während der tatsächliche Link den Benutzer zu einer Phishing-Webseite weiterleiten wird. Viele Benutzer werden den Unterschied nicht bemerken, es sei denn, sie überprüfen die Links, bevor sie darauf klicken.

Beispiel einer Phishing-Mail mit einem Phishing-Link

Die meisten Phishing-Mails enthalten Links zu Phishing-Seiten; verwenden Sie diese Links nicht!

Phishing-Anhänge

Phishing-Mails können auch Anhänge enthalten, typischerweise HTML-, PDF- oder DOC-Dateien.

Anhänge im DOC- und PDF-Format enthalten oft den Text der Phishing-Mail und den Betrugslink. Angreifer greifen zu dieser Taktik, wenn sie den eigentlichen Text der Mail so kurz und so legitim wie möglich gestalten möchten, um Spam-Filter zu umgehen.

Beispiel einer Phishing-Mail mit PDF-Anhang

Einige Phishing-Mails kommen mit PDF- oder DOC-Anhängen mit Links zu Phishing-Seiten innerhalb der angehängten Datei

HTML-Dateien werden statt Links verwendet, da die HTML-Anhänge tatsächlich die fertige Phishing-Seite sind. Aus Sicht der Betrüger ist der Vorteil, dass die angehängten HTML-Dateien voll funktionsfähig sind (sie müssen nicht im Internet gepostet werden) und dass sie alle Elemente beinhalten, die für den Betrug nötig sind.

Beispiel einer Phishing-Mail mit einem HTML-Anhang

Das Login-/Passwort-Eingabeformular ist in der Phishing-Mail an sich enthalten. Geben Sie hier niemals etwas ein

Themen von Phishing-Mails

Kontoprobleme

Was den Text der Mails betrifft, beginnen die meisten damit, dass es ein Problem mit dem E-Mail-Konto des Opfers gäbe: Speicherlimit erreicht, Problem bei der Zustellung einer Mail, unautorisiertes Login, Spam-Vorwurf, Warnungen zu anderen Verstößen usw.

Die Mail erklärt dem Benutzer normalerweise, wie er mit diesem Problem umgehen muss, meist durch Bestätigen oder Aktualisieren von Kontodaten, indem er einem Link folgt oder einen Anhang öffnet. Um den Empfänger unter Druck zu setzen, heißt es, dass, wenn er den Anweisungen nicht folgt, das Konto blockiert oder gelöscht würde.

Wie in jedem Fall wird in der Mail ein Zeitrahmen für eine Antwort festgelegt, der zwischen einigen Stunden und einigen Wochen liegen kann. Für gewöhnlich sind es 24 Stunden, was sowohl glaubwürdig als auch nicht so lang ist, dass das Opfer sich entspannen und die Mail vergessen könnte.

Beispiel einer Phishing-Mail mit begrenztem Zeitlimit für eine Antwort

„Ihr Konto wird aufgrund von Spam innerhalb von 24 Stunden gelöscht.“ Bedrohungen mit Zeitlimits sind typische Phishing-Tricks

Einschränkungen der Geschäftskorrespondenz

Manchmal richten sich untypische Phishing-Mails an E-Mail-Konten. Der Text solcher Nachrichten kann möglicherweise keinen Bezug auf E-Mail oder Kontodaten haben. Die Mail kann einer realen Geschäftskorrespondenz sehr ähnlichsehen.

Wir sollten erwähnen, dass die Anzahl gefälschter Geschäftsmails für Phishing in den letzten Jahren gestiegen ist. Nachrichten dieser Art werden für gewöhnlich genutzt, um schädliche Anhänge zu versenden, aber einige von ihnen haben es auch auf persönliche Daten abgesehen. Einem gewöhnlichen Benutzer wird es schwerfallen, eine Phishing-Mail zu erkennen. Und darauf setzen Cyberkriminelle.

Beispiel einer Phishing-Mail, die wie eine Geschäftskorrespondenz aussieht

Bei der Jagd auf Unternehmenskonten ist das Nutzen einer gefälschten Geschäftskorrespondenz eine verbreitete Taktik

Einige Benutzer werden von keinem Betrug ausgehen und dem Link mit einem Login folgen, der zu einem nicht existierenden Dokument führt.

Beispiel einer Phishing-Webseite, die den Besucher dazu auffordert, sich anzumelden, um ein Dokument anzusehen

Phishing-Webseite fordert den Benutzer dazu auf, sich anzumelden, um ein Dokument anzusehen, das in der Phishing-Mail genannt wird

Varianten von Phishing-Seiten

Da wir über das Format und den Inhalt von Mails gesprochen haben, lassen sie uns nun einen Blick darauf werfen, wie Phishing-Webseiten aussehen könnten und auf welche Elemente Sie besonders achten sollten, damit sie einen Betrug erkennen.

Zunächst sollten Sie genau auf die Linkadresse achten. Die Adresse kann einen Betrug direkt verraten. Typische Zeichen eines Betrugs schließen Folgendes ein:

  • Domänen, die keinen Bezug zu den sendenden Organisationen haben,
  • Namen von Organisationen oder Webdiensten in dem Adresspfad, statt in der Domäne, z. B. example.com/outlook/,
  • Rechtschreibfehler
  • Strings zufälliger Symbole in der Linkadresse,
  • Symbole aus anderen Sprachen, die dem grundlegenden lateinischen Alphabet ähnlichsehen: ç statt c, á statt a usw.

Wie auch bei den Mails versuchen Phisher, dass gefälschte Webseiten den realen so ähnlich wie möglich sehen. Obwohl Details immer vernachlässigt werden, können leider nicht alle Benutzer diese erkennen.

Dieser Teil kann einfach nachvollzogen werden; nur wenige können sich an das exakte Aussehen der offiziellen Homepage ihres Onlinedienstes erinnern. Um eine überzeugende Phishing-Seite zu erstellen, ist es daher oft genug, charakteristische Schlüsselelemente zu nutzen: Farbschema, Logo usw.

Beispiel einer Webmail-Anmeldeseite auf einer Phishing-Webseite

Gefälschte Webmail-Anmeldeseite

Für Phishing-Seiten, aber die freie Webmail-Logins und Passwörter gestohlen werden sollen, ist es typisch, Links zu mehreren Webmail-Diensten auf derselben Seite anzubieten.

Sobald einer von ihnen angeklickt wird, wird ein Fenster angezeigt, das wie die Anmeldeseite für den betreffenden Dienst aussieht. Auf diese Weise können Betrüger Daten für verschiedene Kontoarten mit nur einer Seite sammeln und müssen jeweils keine separaten Seiten erstellen.

Beispiel einer universellen Phishing-Webseite mit mehreren Konten zum Einloggen

Diese Phishing-Webseite täuscht eine Anmeldung vor, indem sie verschiedene Webmail-Konten nutzt

Phisher können sogar noch mehr potentielle Opfer erreichen, indem sie nicht vorgeben, einen spezifischen Maildienst zu repräsentieren, sondern Mails verwenden (zu jedem allgemeinen Thema, wie z. B. die zuvor erwähnte Option der Geschäftskorrespondenz), die zu einer Phishing-Seite weiterleiten und die verbreitetsten Webmail-Dienste für Benutzer anbieten, die denjenigen auswählen, den sie gerade benötigen.

Beispiel einer Webmail-Anmeldeseite auf einer Phishing-Webseite

Ein weiteres Beispiel einer gefälschten Webmail-Anmeldeseite

Der Trick mit dem Zeitlimit, den wir zuvor bei den Phishing-Mails erwähnt haben, wird manchmal auch auf Phishing-Seiten verwendet. Sobald ein Benutzer eine Betrugsseite öffnet, beginnt ein visueller Countdown der Zeit, die dem ahnungslosen Benutzer bleibt, um seine Daten einzugeben.

Beispiel einer Phishing-Seite mit einem Zeitlimit

Auch einige Phishing-Seiten drängen den Benutzer dazu, sich zu beeilen

Wenn ein Opfer seine Daten über eine Phishing-Seite überträgt, kann das Ergebnis unterschiedlich ausfallen. Auf einige Webseiten kann nicht mehr zugegriffen werden oder sie geben eine Fehlermeldung aus. Andere behaupten, der Benutzer hätte keine korrekten Daten eingegeben und solle es noch einmal versuchen.

Das gefährlichste Szenario ist, wenn es später in Fahrt kommt. Sobald die Daten übertragen wurden, leitet die Phishing-Seite den Benutzer an die reale Anmeldeseite des betreffenden Webmail-Dienstes weiter. Der Benutzer denkt, dass da wohl ein Fehler aufgetreten ist, gibt seine Logindaten und sein Passwort (diesmal erfolgreich) erneut ein und vergisst, dass da etwas Merkwürdiges geschehen ist.

Phishing-Mails erkennen

  • Wenn die Adressdomäne des Senders nicht zu der angeblichen Organisation des Senders gehört und insbesondere, wenn die Mailbox mit einem der freien Webmail-Dienste registriert ist, dann ist die Mail ein Betrug. Offizielle Mails kommen immer von offiziellen Adressen.
  • Wenn die Mail Links, auf die Sie klicken sollen, unzusammenhängende Domänen, spezielle Symbole usw. aufweist, dann stehen Sie einem Betrug gegenüber.
  • Wenn in der Mail behauptet wird, dass es unerwartete Probleme mit Ihrem Konto gibt, und Sie aufgefordert werden, einem Link zu folgen und sich anzumelden, bevor die Zeit abläuft, dann kommt die Mail von einem Betrüger.

Es ist nützlich, aber nicht unbedingt strikt notwendig, all diese Dinge im Kopf zu behalten und auf jede Mail anzuwenden, die Sie erhalten. Nutzen Sie stattdessen ein robustes Antivirus-Produkt, das Ihnen dabei hilft, Phishing und andere Onlinebedrohungen zu erkennen.