{"id":20102,"date":"2019-09-06T11:41:32","date_gmt":"2019-09-06T09:41:32","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20102"},"modified":"2019-11-22T12:00:48","modified_gmt":"2019-11-22T10:00:48","slug":"email-account-stealing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/email-account-stealing\/20102\/","title":{"rendered":"Wie Phisher E-Mail-Konten stehlen"},"content":{"rendered":"

Die gute alte E-Mail ist nicht das aufregendste Angebot in der digitalen Welt, aber inmitten jeder Menge neuer Apps und Dienste (Instant Messenger, soziale Netzwerke) bew\u00e4hrt sie sich als wesentliches Tool im modernen Alltag. Die meisten von uns sind quasi dazu verpflichtet, die guten alten E-Mails zu nutzen, zumindest, um in all den genannten Diensten, Apps und sozialen Netzwerken ein neues Konto einrichten zu k\u00f6nnen.<\/p>\n

Durch diese Notwendigkeit sind E-Mail-Logins ein begehrtes Ziel f\u00fcr Angreifer. In diesem Post werden wir erkl\u00e4ren, wie einige Gauner durch Phishing an sie herankommen.<\/p>\n

Phishing-Mails\u00a0\u2013 die h\u00e4ufigsten Taktiken zum Hacken von E-Mails<\/h2>\n

Die meisten Betrugsmails zum Stehlen von E-Mail-Loginnamen und -passw\u00f6rtern sehen wie Nachrichten von dem Dienst aus, den wir f\u00fcr E-Mails benutzen. Wenn Phisher Heimnutzer im Visier haben, imitieren sie beliebte Webmail-Dienste; und wenn sie versuchen, Unternehmenskonten zu hacken, gegeben sie vor, dass sie der E-Mail-Dienst Ihres Unternehmens sind. In diesem Fall ist der Sender einfach der Mail-Server.<\/p>\n

Verbreitete Mail-Dienste werden h\u00e4ufiger imitiert. Betr\u00fcger versuchen, solche Mails so \u00fcberzeugend wie m\u00f6glich zu gestalten. Das Betrugs-Toolkit sieht standardm\u00e4\u00dfig so aus: eine Senderadresse, die der echten sehr \u00e4hnlichsieht, Logos, Kopf- und Fu\u00dfzeilen, Links zu offiziellen Ressourcen, ein plausibles Layout usw.<\/p>\n

\"Beispiel

Phishing-Mails drohen Benutzern damit, ihr Konto zu l\u00f6schen<\/p><\/div>\n

Im Fall der Unternehmenskonten senden Betr\u00fcger oft Phishing-Mails, die als Nachrichten vom Unternehmensserver oder von \u00f6ffentlichen E-Mail-Diensten getarnt sind, an gemeinsame Adressen (einschlie\u00dflich derer, die von Administratoren verwendet werden), jedoch erreichen solche Mails manchmal die Mailboxen einzelner Mitarbeiter, deren Adressen irgendwie im Spam-Datenbanken gelandet sind.<\/p>\n

Unternehmen, die ernst genommen werden m\u00f6chten, insbesondere Gro\u00dfunternehmen, verwalten ihre eigenen E-Mail-Server. Diese Logins und Passw\u00f6rter f\u00fcr solche Konten sind auch f\u00fcr Angreifer verlockend. Ihre Nachrichten verraten sich selbst oft durch ihre alles andere als perfekte Erscheinung: Senderadressen von freien Webmail-Diensten, Rechtschreibfehler usw. Aber auch solche Mails k\u00f6nnen von unerfahrenen Mitarbeitern f\u00fcr echte Mails gehalten werden.<\/p>\n

\"Beispiel

In dieser Mail wird eine Warnung zu \u00fcberschrittenem Kontingent von den Phishern imitiert<\/p><\/div>\n

Im Fall von gezielten Angriffen auf bestimmte Organisationen sammeln die Betr\u00fcger f\u00fcr gew\u00f6hnlich zuvor so viele Informationen \u00fcber das Unternehmen wie m\u00f6glich, damit ihre Mails so \u00fcberzeugend wie m\u00f6glich wirken. F\u00fcr einen Hauch von Glaubw\u00fcrdigkeit und Einzigartigkeit k\u00f6nnen sie die E-Mail-Adressen der Opfer in Phishing-Hyperlinks integrieren, sodass die Adresse bereits vorhanden ist, wenn die falsche Seite besucht wird, und dann nur noch das Passwort eingegeben werden muss.<\/p>\n\n

Varianten von Phishing-Mails<\/h3>\n

Einfacher Text mit Informationsanforderungen<\/strong><\/h4>\n

Betr\u00fcger kontaktieren einfach Benutzer im Auftrag von Maildiensten unter verschiedenen Vorw\u00e4nden und fordern sie dazu auf, ihnen E-Mail-Adressen, Passw\u00f6rter und andere Informationen zu senden. Benutzer werden f\u00fcr gew\u00f6hnlich darum gebeten, einer E-Mail-Adresse zu antworten, die sich von der des Senders unterscheidet.<\/p>\n

Diese Art von Phishing-Mail war recht verbreitet, bis Betr\u00fcger effektivere Methoden zum Diebstahl von pers\u00f6nlichen Informationen fanden.<\/p>\n

\"Beispiel

Phishing-Mail mit einer Textanforderung f\u00fcr Kontoinformationen, einschlie\u00dflich Passwort. Senden Sie niemals etwas als Antwort auf eine solche Anforderung<\/p><\/div>\n

Mail mit einem Link zu einer Phishing-Webseite<\/strong><\/h4>\n

Phishing-Nachrichten mit Links sind derzeit der h\u00e4ufigste Typ. Betr\u00fcger k\u00f6nnen unz\u00e4hlig viele vorgenerierte Links nutzen, sie von Mail zu Mail in derselben Rundmail variieren, Phishing-Seiten erstellen, die der legitimen sehr \u00e4hnlich sehen und eine Sammlung und Verarbeitung von gestohlenen Daten automatisieren.<\/p>\n

Aber diese Links verraten deutlich einen Betrug, da sie zu Dom\u00e4nen f\u00fchren, die keine Beziehung zu den angeblichen Organisationen haben, oder Dom\u00e4nennamen verwenden, die falsch geschrieben sind und wie die legitime aussehen sollen. Daher versuchen Angreifer, die Adressen, zu denen ihre Links f\u00fchren, zu verbergen. Das erreichen sie durch anklickbaren Text oder Bilder, die mit einem Hyperlink unterlegt sind. Solche Textlinks k\u00f6nnen Formulierungen wie \u201eAktualisieren Sie Ihre Mailbox\u201c enthalten. In anderen F\u00e4llen kann der Textteil des Links eine reale Maildienstadresse zeigen, w\u00e4hrend der tats\u00e4chliche Link den Benutzer zu einer Phishing-Webseite weiterleiten wird. Viele Benutzer werden den Unterschied nicht bemerken, es sei denn, sie \u00fcberpr\u00fcfen die Links, bevor sie darauf klicken.<\/p>\n

\"Beispiel

Die meisten Phishing-Mails enthalten Links zu Phishing-Seiten; verwenden Sie diese Links nicht!<\/p><\/div>\n

Phishing-Anh\u00e4nge<\/strong><\/h4>\n

Phishing-Mails k\u00f6nnen auch Anh\u00e4nge enthalten, typischerweise HTML-, PDF- oder DOC-Dateien.<\/p>\n

Anh\u00e4nge im DOC- und PDF-Format enthalten oft den Text der Phishing-Mail und den Betrugslink. Angreifer greifen zu dieser Taktik, wenn sie den eigentlichen Text der Mail so kurz und so legitim wie m\u00f6glich gestalten m\u00f6chten, um Spam-Filter zu umgehen.<\/p>\n

\"Beispiel

Einige Phishing-Mails kommen mit PDF- oder DOC-Anh\u00e4ngen mit Links zu Phishing-Seiten innerhalb der angeh\u00e4ngten Datei<\/p><\/div>\n

HTML-Dateien werden statt<\/em> Links verwendet, da die HTML-Anh\u00e4nge tats\u00e4chlich die fertige Phishing-Seite sind. Aus Sicht der Betr\u00fcger ist der Vorteil, dass die angeh\u00e4ngten HTML-Dateien voll funktionsf\u00e4hig sind (sie m\u00fcssen nicht im Internet gepostet werden) und dass sie alle Elemente beinhalten, die f\u00fcr den Betrug n\u00f6tig sind.<\/p>\n

\"Beispiel

Das Login-\/Passwort-Eingabeformular ist in der Phishing-Mail an sich enthalten. Geben Sie hier niemals etwas ein<\/p><\/div>\n

Themen von Phishing-Mails<\/h3>\n

Kontoprobleme<\/strong><\/h4>\n

Was den Text der Mails betrifft, beginnen die meisten damit, dass es ein Problem mit dem E-Mail-Konto des Opfers g\u00e4be: Speicherlimit erreicht, Problem bei der Zustellung einer Mail, unautorisiertes Login, Spam-Vorwurf, Warnungen zu anderen Verst\u00f6\u00dfen usw.<\/p>\n

Die Mail erkl\u00e4rt dem Benutzer normalerweise, wie er mit diesem Problem umgehen muss, meist durch Best\u00e4tigen oder Aktualisieren von Kontodaten, indem er einem Link folgt oder einen Anhang \u00f6ffnet. Um den Empf\u00e4nger unter Druck zu setzen, hei\u00dft es, dass, wenn er den Anweisungen nicht folgt, das Konto blockiert oder gel\u00f6scht w\u00fcrde.<\/p>\n\n

Wie in jedem Fall wird in der Mail ein Zeitrahmen f\u00fcr eine Antwort festgelegt, der zwischen einigen Stunden und einigen Wochen liegen kann. F\u00fcr gew\u00f6hnlich sind es 24\u00a0Stunden, was sowohl glaubw\u00fcrdig als auch nicht so lang ist, dass das Opfer sich entspannen und die Mail vergessen k\u00f6nnte.<\/p>\n

\"Beispiel

\u201eIhr Konto wird aufgrund von Spam innerhalb von 24\u00a0Stunden gel\u00f6scht.\u201c Bedrohungen mit Zeitlimits sind typische Phishing-Tricks<\/p><\/div>\n

Einschr\u00e4nkungen der Gesch\u00e4ftskorrespondenz<\/strong><\/h4>\n

Manchmal richten sich untypische Phishing-Mails an E-Mail-Konten. Der Text solcher Nachrichten kann m\u00f6glicherweise keinen Bezug auf E-Mail oder Kontodaten haben. Die Mail kann einer realen Gesch\u00e4ftskorrespondenz sehr \u00e4hnlichsehen.<\/p>\n

Wir sollten erw\u00e4hnen, dass die Anzahl gef\u00e4lschter Gesch\u00e4ftsmails f\u00fcr Phishing in den letzten Jahren gestiegen ist. Nachrichten dieser Art werden f\u00fcr gew\u00f6hnlich genutzt, um sch\u00e4dliche Anh\u00e4nge zu versenden, aber einige von ihnen haben es auch auf pers\u00f6nliche Daten abgesehen. Einem gew\u00f6hnlichen Benutzer wird es schwerfallen, eine Phishing-Mail zu erkennen. Und darauf setzen Cyberkriminelle.<\/p>\n

\"Beispiel

Bei der Jagd auf Unternehmenskonten ist das Nutzen einer gef\u00e4lschten Gesch\u00e4ftskorrespondenz eine verbreitete Taktik<\/p><\/div>\n

Einige Benutzer werden von keinem Betrug ausgehen und dem Link mit einem Login folgen, der zu einem nicht existierenden Dokument f\u00fchrt.<\/p>\n

\"Beispiel

Phishing-Webseite fordert den Benutzer dazu auf, sich anzumelden, um ein Dokument anzusehen, das in der Phishing-Mail genannt wird<\/p><\/div>\n

Varianten von Phishing-Seiten<\/h3>\n

Da wir \u00fcber das Format und den Inhalt von Mails gesprochen haben, lassen sie uns nun einen Blick darauf werfen, wie Phishing-Webseiten aussehen k\u00f6nnten und auf welche Elemente Sie besonders achten sollten, damit sie einen Betrug erkennen.<\/p>\n

Zun\u00e4chst sollten Sie genau auf die Linkadresse achten. Die Adresse kann einen Betrug direkt verraten. Typische Zeichen eines Betrugs schlie\u00dfen Folgendes ein:<\/p>\n