Pishing-Mails
sind eine besonders fiese Methode des Dummenfangs. Sicherlich,
es sagt sich sehr leicht, dass nur die Dummen drauf reinfallen - aber
stellen Sie sich vor, da spricht Sie jemand an und sagt zu Ihnen:
Gib mir mal Deine
EC/Kredit-Karte und die PIN dazu, ich bin von der Bank und will mal
testen, ob Deine Karte noch geht.....
Was machen Sie? Sie zeigen dem Kerl einen Vogel und lassen
ihn stehen oder rufen die Polizei, wenn er wirklich ernst gemeint hat.
Das sollten Sie aber auch mit denen machen, die es versuchen, Sie auf
elektronischem Wege zu betrügen, denn
Pishing-Mails
machen nichts anderes.
Sie erhalten in Ihre private Mailbox
eine Mail, die auf den ersten Blick so aussieht, als sei sie von Ihrer
Bank. Diese Pishing-Mails sind in Sachen Layout professionell
aufgemacht. Beim ersten Mal glaubt man im ersten Moment auch wirklich
Post von seiner Bank zu haben, aber im zweiten Moment sollte dann doch
das Nachdenken einsetzen. Denn .....
eine Bank sendet Ihnen
niemals außerhalb Ihres Homebanking-Accountes eine Mail, wenn
überhaupt.
Eine besonders
beliebte Zielscheibe dieser Mailversender scheint die Postbank zu
sein. Die Gründe sind mir nicht bekannt. 
Zumindest sind diese Mails wesentlich
häufiger, als gefälschte Mails von der Commerzbank oder der
Deutschen Bank. In dem nebenstehend durch Anklicken des Minibildchens
sich öffnenden Screenshot eines solchen "Postbank-Mails" (109,5 KB)
sollte man genau hinschauen. Wenn der Mauszeiger über den
angebotenen Link streicht, ersieht man untern in der Fußleiste
keinen neuen Weblink, sondern lediglich eine http-Adresse in Zahlen.
Wenn man den Link dann anklickte, öffnete sich eine Eingabemaske,
in die hinein dann man tippen sollte:
die Kontonummer
und Bankleitzahl
die
dreistellige Nummer Ihrer Bank
Ihr
Online-Kennwort
und eine TAN
Normalerweise, darf es niemanden geben, der das tut, aber es muss wohl
trotzdem etliche Male funktioniert haben. Das Vertrauen mancher weniger
Internetsurfer scheint grenzenlos zu sein. Sekunden nach der Eingabe
und
deren Bestätigung landen diese Angaben auf einem Rechner irgendwo
auf der weiten Welt und im nächsten Moment bekommt Ihre
Bank scheinbar von Ihnen einen Abbuchungsauftrag zugunsten des
Kontos des Verbrechers. Die täglich vereinbarte Höchstsumme
natürlich, das versteht sich, denn der Raubzug soll sich ja lohnen.
Zu 99 Prozent ist dieses Geld weg! Ehe die Ermittlungen überhaupt
richtig anlaufen, hat der Gauner das Empfängerkonto schon wieder
gekündigt und bereitet den gleichen Coup unter anderer
Identität wieder neu vor.
Die
Gauner scheinen auch in der Wahl der Banken nicht wählerisch zu
sein. Nach dem Prinzip der Gießkanne werden die Mails ausgesandt.
Das läßt erstmal vermuten, dass sie nicht wissen, bei
welcher Bank Sie sind. Die Täter hoffen darauf, dass zwei Dinge
eintreten - zum ersten, dass sie nach dem Zufallsprinzip einen
passenden Bankkunden finden und
zum zweiten muss der Betreffende dann aber obendrein noch so
leichtsinnig sein und das
Formular ausfüllen und absenden. Auch bei diesem neuesten Versuch,
diesmal ist
es die City-Bank, bestätigt sich das vordem Genannte wie bei der
Postbank. Schauen Sie sich auch hier genau den Link auf diesem
Screenshot an! Der
Link im Formular täuscht einen gesicherten Server vor, was man mit
der Buchstabenfolge
hpps in der
Link-Adresse
versucht. Wenn Sie gleichzeitig in die Fußleiste des Browsers
schauen, ersehen sie aber leicht, dass das nicht so ist. Dort steht
dann etwas ganz anderes...
Ein anderer gefährlicher
Verdacht tut sich neuerdings bei diesen Pishing-Mals auf.Während
es sonst bis zur Öffnung des Eingabeformulars relativ
gefahrlos blieb, wenn man dort nichts eingab, scheinen diese Links
jetzt obendrein mit Trojanern und Scripts verknüpft zu sein, die
den Computer nach Passwort-Dateien absuchen. So war es noch vor wochen
möglich diese gefälschten Formulare zu öffnen, um zu
ersehen, was für Daten die Absender sich erschleichen wollten.
Inzwischen gibt es immer mehr solcher Mails, bei denen sich scheinbar
eine Seite öffnet, die aber dann nicht erscheint, andersherum aber
ein umfangreicher Traffic veranstaltet wird. Hier liegt der Verdacht
nahe, dass bereits der Datenklau mit dem Anklicken des Formulars
beginnt. Wer z.B. Homebanking mit
dem Browser auf direkten Bankseiten macht, sollte schon nach dem ersten
Aufruf seiner Bankseite und dem erfolgreichen Einloggen nachschauen, ob
der Browser nicht doch irgendwo sein Passwort gespeichert hat. Un das
obwohl
man (und davon gehe ich hier grundsätzlich aus!) die Option
Passwort nicht speichern,
oder besser noch
niemals auf
dieser Seite
benutzt hat. In früheren Versionen des Mozilla habe ich einige
Male ziemlich geschockt festgestellt, dass Zugangs-Passwörter und
ganze
Kennungen
vom Browser trotz ausdrücklichen Verbotes gespeichert
wurden. Ich empfehle dringlichst in dem unsichtbaren Ordner ./mozilla
unter default die Dateien cookies.txt und pref.js genauestens
abzuprüfen!
Ich will Sie hier nicht verängstigen, aber auch gleichzeitig
auffordern, selbst wachsam zu bleiben. Am günstigsten ist es wohl,
bei solchen Mails überhaupt nichts anzuklicken und zu probieren,
sondern sie gleich zu löschen und zwar auch im Papierkorb.
Besonders gefährdet sind natürlich Windows-Benutzer, weil
hier die Trojaner ausgesprochen gut funktionieren. Es ist aber meiner
Befürchtung nach nur eine Frage der Zeit, wann mit wachsender
Beliebtheit für das Betriebsystem Linux auch hier sogenannte
Root-Kits kriminellen Inhalt in Umlauf gebracht werden. Da Mozilla,
Firefox und Co auch im Linux ihre Konfigurationsdateien inclusive
Passwortdateien im /home/username-Verzeichnis ablegen, rettet hier auch
die Tatsache, dass man nicht als Root im Netz ist, nicht mehr viel. Die
Root-Kits könnten diese Dateien auslesen und an die Computer der
Diebe senden. Verlassen Sie sich auch nicht auf die trügerische
Hoffnung, der Angreifer könne ja ihr Dateiformat ext, ext3,
reiserfs oder was auch immer sowieso
nicht lesen, weil der Trojaner ein Windows-Trojaner wäre. Es gibt
inzwischen etliche Programme, die auch vom Windows aus Unix-Formate
auslesen können und wer sagt Ihnen überhaupt, dass der
Angreifer unbedingt mit Windows arbeiten muß?
Etwa nach dem gleichen Muster
verläuft das mit den Pishing-Mails, mit denen die Gauner Ihre
Ebay-Daten ergaunern wollen und dann auf Ihre Kosten
fleißig bei Ebay einkaufen. Diese Mails, wie nebenstehend
(118,1
KB), welche scheinbar von Ebay kommen, sind auch recht
professionell aufgemacht. Auch hier müsste jedem klar sein -
Ebay fragt niemals in Mails nach der
Zugangskennung und dem Passwort! Doch auch hier ist es mit der
Wachsamkeit der Betreffenden nicht so weit her, denn immer wieder
hört man, dass der eine oder andere plötzlich Besitzer einer
Yacht geworden ist, die er nie gekauft hat und die er in Bayern
fünf Meter unterhalb der Zugspitze in seinem Pool auch nicht
schwimmen lassen könnte. Der Ärger und der ganze Trouble sind
dann riesengroß, denn der Käufer ist bei Ebay zur Abnahme
der Ware und zur Bezahlung verpflichtet, wenn er diese gekauft hat. Und
wenn jemand in den Besitz Ihrer Zugangsdaten kommt, dann kauft er mit
Ihrer Identität ein. Liegt das Kind dann erstmal im Brunnen
und eine ganze Reihe von Verkäufern von Ihnen Geld einfordert,
dann beweisen Sie erstmal, dass Sie es wirklich nicht waren. Die
Betrüger sind allgemein nicht dumm, sondern hochgradig
intelligent, was diese Leute insumme mit der ihnen innewohnenden
kriminellen Energie sehr gefährlich macht. Solche Leute
verstehen es, im Web ihre Spuren zu verwischen und es ist eine traurige
Tatsache, dass solche Verbrecher den Ermittlungsbehörden fast
immer um mehrere Nasenlängen voraus sind. Kaum 10 Prozent solcher
Betrügereien werden aufgeklärt. Wie soll das auch
aufgeklärt werden, wenn sich die Spuren dann in den
unkontrollierbaren Weiten der ehemaligen osteuropäischen
Blockstaaten verlieren oder irgendwo auf Thailand oder auf chinesischen
Servern und die dortigen Behörden kaum Interesse und vor allem
keine technische und geistige Substanz dafür haben, solchen Leuten
das Handwerk zu legen.
Auch hier ist wieder typisch, wenn man über den Link, der zur
Eingabemaske führt mit dem Mauszeiger streicht, ersieht man in der
Fußzeile keinen Pfad, sondern wieder nur eine http-Zahlenfolge.
Bereits hier an dieser Stelle müssen bei Ihnen alle Alarmglocken
schrillen. Getarnt wird das Ganze dergestalt, dass man vorgibt, Ihr
Account
würde kurz vor der Löschung stehen, wenn Sie nicht Ihre Daten
von Zeit zu Zeit bestätigen würde und mit diesem Mail
werden Sie dann aufgefordert, Ihre Daten zur Bestätigung
einzugeben und
zu senden. Das ist aber verbrecherischer Betrug, denn die Ebay-Accounts
müssen nicht in periodischen Zeitabständen bestätigt
werden. Wenn Sie das aber doch wider allen Anratens glauben, Ihre Daten
eingeben und die dann absenden, dann kann Ihnen kaum noch jemand
helfen. Danach ist alles passiert und Sie könnten sich nur
noch
retten, wenn Sie sofort Ihr Passwort bei Ebay verändern.
Zuvor
aber, ehe es zu dieser Erkenntnis kommt, ist meist der Schaden schon
entstanden!
Ein wichtiges Kennzeichen sollten Sie grundsätzlich immer
beachten !!
Egal, ob Sie von einer solchen
Betrügermail oder von wem auch immer, zur Eingabe irgendwelcher
persönlichen Daten aufgefordert werden, sehen Sie ihren Browser in der rechten
unteren Ecke genau an, er will Ihnen etwas sagen!
Ich beziehe mich natürlich hier nur auf
den Mozilla oder Firefox als Standartbrowser unter Linux und
allen anderen vernünftigen unixoiden Betriebssystemen. Aber
prinzipiell muss jeder Browser irgendwo eine gleich oder ähnliche
Anzeige haben, die Ihnen sagt, dass Sie sich auf einer geschützten
Seite befinden. Auf
dieses 
geschlossene Schloßsymbol auf gelbem
Grund, wie in der linken Grafik zu sehen, sollten Sie
grundsätzlich achten. Wenn Sie in die Eingabemasken von
Pishing-Mails gehen, ist zumindest bis jetzt noch, ein solches
geschlossenes Symbol nicht zu finden. Entweder ist das Schloss
geöffnet, wie auf der rechten Grafik, oder es ist überhaupt
kein Schloß zu finden. Bis jetzt noch, heißt aber auch,
dass bei dem derzeitigen Wissenstand dieser Leute, die ja allesamt
keine Dummen sind, es nicht auszuschließen ist, das doch mal
einer die Sache so programmiert, dass ein solches Symbol
vortäuscht werden könnte. Wenn Sie irgendwo im Netz dazu
aufgefordert werden, irgend etwas von sich preiszugeben, was auch immer
und sie gleichzeitig das aktivierte Sicherheitssymbol nicht vorfinden,
sollten Sie auf jede weitere Eingabe verzichten und die Verbindung
beenden.
Achtung,
inzwischen verdichten sich aber mehr und mehr die Mitteilungen, dass
die Betrüger neuerdings auch sogenannte gesicherte Seiten
vortäuschen können. Das veranlasst den Browser zu einem
geschlossenen Schloßsymbol, obgleich sich im Hintergrund gar
keine gesicherte Seite einer echten Bank befindet. So jedenfalls am
01.09.2005 abends in einer Sendung der hessischen Polizei im
Hessen-Fernsehen. Den Aussagen in dieser Sendung zufolge kommt der
größte Teil der Betrügermails aus der Türkei und
aus den Staaten der ehemaligen Sowjetunion. Damit ist das
"Vorhängeschloß" nun wahrscheinlich auch nicht mehr so
verläßlich, wie es einstens war.
Unbegreiflich, dass in dieser Sendung auch gesagt wurde, dass noch
immer täglich etliche auf solche Mails hereinfallen und brav alle
gewünschten Daten abliefern, um Sekunden später bis an den
Dispokredit abkassiert zu werden. Das Ganze verstärkt sich noch
durch offensichtliche Nachlässigkeiten bei der Prüfung
solcher Bankaufträge. Aus diesem Grunde sollten Sie immer davon
ausgehen:
Eine Bank fordert per EMail niemals
von einem Kunden sicherheits-relevante Daten ab. Gehen Sie immer davon
aus, dass an einem solchen Mail, egal wie perfekt es gemacht ist, immer
etwas faul ist! Auch im direkten Gespräch fragt Sie ein
Bankmitarbeiter niemals nach Ihren persönlichen Zugangsdaten, weil
er das schlichtweg einfach nicht darf.
Löschen Sie solche Mails sofort, nachdem Sie sie erhalten haben,
schon das Anklicken des Hyperlinks aus Neugier, kann Ihnen einen
Trojaner auf Ihrem System bescheren, der Passwörter aus dem Cache
ausliest, und dann ebenso dorthin sendet, wo Kriminelle nur darauf
warten.
Zumindest sind diese Mails wesentlich
häufiger, als gefälschte Mails von der Commerzbank oder der
Deutschen Bank. In dem nebenstehend durch Anklicken des Minibildchens
sich öffnenden Screenshot eines solchen "Postbank-Mails" (109,5 KB)
sollte man genau hinschauen. Wenn der Mauszeiger über den
angebotenen Link streicht, ersieht man untern in der Fußleiste
keinen neuen Weblink, sondern lediglich eine http-Adresse in Zahlen.
Wenn man den Link dann anklickte, öffnete sich eine Eingabemaske,
in die hinein dann man tippen sollte:
Die
Gauner scheinen auch in der Wahl der Banken nicht wählerisch zu
sein. Nach dem Prinzip der Gießkanne werden die Mails ausgesandt.
Das läßt erstmal vermuten, dass sie nicht wissen, bei
welcher Bank Sie sind. Die Täter hoffen darauf, dass zwei Dinge
eintreten - zum ersten, dass sie nach dem Zufallsprinzip einen
passenden Bankkunden finden und
zum zweiten muss der Betreffende dann aber obendrein noch so
leichtsinnig sein und das
Formular ausfüllen und absenden. Auch bei diesem neuesten Versuch,
diesmal ist
es die City-Bank, bestätigt sich das vordem Genannte wie bei der
Postbank. Schauen Sie sich auch hier genau den Link auf diesem
Screenshot an! Der
Link im Formular täuscht einen gesicherten Server vor, was man mit
der Buchstabenfolge hpps in der
Link-Adresse
versucht. Wenn Sie gleichzeitig in die Fußleiste des Browsers
schauen, ersehen sie aber leicht, dass das nicht so ist. Dort steht
dann etwas ganz anderes...
Kennungen
vom Browser trotz ausdrücklichen Verbotes gespeichert
wurden. Ich empfehle dringlichst in dem unsichtbaren Ordner ./mozilla
unter default die Dateien cookies.txt und pref.js genauestens
abzuprüfen!
Etwa nach dem gleichen Muster
verläuft das mit den Pishing-Mails, mit denen die Gauner Ihre
Ebay-Daten ergaunern wollen und dann auf Ihre Kosten
fleißig bei Ebay einkaufen. Diese Mails, wie nebenstehend (118,1
KB), welche scheinbar von Ebay kommen, sind auch recht
professionell aufgemacht. Auch hier müsste jedem klar sein - Ebay fragt niemals in Mails nach der
Zugangskennung und dem Passwort! Doch auch hier ist es mit der
Wachsamkeit der Betreffenden nicht so weit her, denn immer wieder
hört man, dass der eine oder andere plötzlich Besitzer einer
Yacht geworden ist, die er nie gekauft hat und die er in Bayern
fünf Meter unterhalb der Zugspitze in seinem Pool auch nicht
schwimmen lassen könnte. Der Ärger und der ganze Trouble sind
dann riesengroß, denn der Käufer ist bei Ebay zur Abnahme
der Ware und zur Bezahlung verpflichtet, wenn er diese gekauft hat. Und
wenn jemand in den Besitz Ihrer Zugangsdaten kommt, dann kauft er mit
Ihrer Identität ein. Liegt das Kind dann erstmal im Brunnen
und eine ganze Reihe von Verkäufern von Ihnen Geld einfordert,
dann beweisen Sie erstmal, dass Sie es wirklich nicht waren. Die
Betrüger sind allgemein nicht dumm, sondern hochgradig
intelligent, was diese Leute insumme mit der ihnen innewohnenden
kriminellen Energie sehr gefährlich macht. Solche Leute
verstehen es, im Web ihre Spuren zu verwischen und es ist eine traurige
Tatsache, dass solche Verbrecher den Ermittlungsbehörden fast
immer um mehrere Nasenlängen voraus sind. Kaum 10 Prozent solcher
Betrügereien werden aufgeklärt. Wie soll das auch
aufgeklärt werden, wenn sich die Spuren dann in den
unkontrollierbaren Weiten der ehemaligen osteuropäischen
Blockstaaten verlieren oder irgendwo auf Thailand oder auf chinesischen
Servern und die dortigen Behörden kaum Interesse und vor allem
keine technische und geistige Substanz dafür haben, solchen Leuten
das Handwerk zu legen.