- Offizieller Beitrag
In einer Welt der Internetkriminalität ist Phishing ein größeres Thema denn je. Wenn wir uns noch mal ein paar Jahre zurückerinnern, denke ich an Zeiten mit schlechten Spam-Mails. Mails in denen mehr Rechtschreibfehler zu finden waren, als richtig geschriebene Worte. Es waren Mails ohne UTF-8 Kodierung und von unglaubwürdigen Absendern. Ich denke an Mails, die man sofort gelöscht hat ohne einen Blick hineinzuwerfen, da der Betreff schon sinnlos war.
Heute ist jedoch alles anders. Die Spam- und vor allem Phishing Mails werden immer "seriöser" (vorsichtig ausgedrückt) und täuschen vermutlich mehr Menschen als je zuvor. Gerade letztens habe ich eine Mail von "Amazon" bekommen, welche täuschend echt war. Keine Rechtschreibfehler, gleiches Muster, wie Amazon es selbst verwendet und mit dem eigenen Namen angesprochen.
Ich möchte hier mal ein Beispiel nennen, welches mich heute Morgen erreichte. Vorab lese ich meine Mails meistens zuerst mit dem Smartphone. Das embedded Mailprogramm "Mail" auf dem iPhone hat leider keine umfangreichen Funktionen. Zum Beispiel lässt sich der Quellcode einer Mail nicht sichten. Dies ist jedoch enorm wichtig, um Spam-Mails eindeutig zu identifizieren. Wer verschickte die Mail wirklich? Von welchem Mailserver kommt die Mail? Eine Absenderadresse faken ist kein Problem. Da kann jeder in seine Mail schreiben, was ihm gerade durch den Kopf geht.
Öffne ich nun eine Mail mit dem iPhone werden meist externe Inhalte (Bilder) automatisch nachgeladen. Heute früh bekam ich eine vermeintliche Paypal Mail. Sie wurde an meine Mailadresse geschickt, mit der ich tatsächlich Paypal nutze. Des Weiteren wurde ich direkt mit richtigem Vor- und Familiennamen angesprochen. Angeblich geht es um eine Zahlung an den Porno-Dienstleister "Pornhub" über 69,99€. Selbstverständlich habe ich dort kein Abonnement abgeschlossen, aber da die Mail auf dem iPhone optisch sehr echt aussah, hätte es auch eine feindliche Übernahme meines Paypal Accounts sein können.
Also PC an, Thunderbird auf und den Quelltext der Mail geöffnet. Die Mail geht durch meinen Postfix, Spamassassin, Amavis und wird mit externen Spamlisten abgeglichen (wie z.B. spamcop.net). Nichts ist hier angeschlagen, da die Mail über vernünftige Wege verschickt wurde.
Wenn man sich aber die received Zeile im Header anschaut, wird klar, dass die Mail nicht von Paypal verschickt wurde.
Received: from s18921816.onlinehome-server.info (s18921816.onlinehome-server.info [217.160.179.134])
by divico3.ch-meta.net (Postfix) with ESMTPA id ADB3E33E2933
for <...>; Fri, 26 Feb 2016 06:21:13 +0100 (CET)Leider kann man da nicht viel machen, außer eine Infomail an die abuse Adresse des Providers schicken. Die Abwehr solcher Phishing Mails wird immer schwieriger! Sobald euch etwas merkwürdig vorkommt, ignoriert die Mail. Klickt auf keine Links oder Bilder in den Mails und gebt auf keinen Fall Kontodaten oder andere persönliche Daten preis!
Mit Hilfe eines whois findet man übrigens den Provider der Absender-Mailserver-IP heraus und damit auch die abuse Adresse. In dem Fall handelt es sich anscheinend um einen gemieteten 1&1 Server, welcher für den Spam Mail Versand genutzt wird. Eventuell wurde der Server auch durch andere Sicherheitslücken feindlich übernommen und für den Spam Versand missbraucht, um eigene Spuren zu vernichten.
Die Welt ist grausam, vor allem im Internet.
