Phishing-Mails entlarven: wirklich von der Deutschen Bank?
Dass diese Mail nicht wirklich von der Deutschen Bank kam, war in meinem Fall offensichtlich: Ich bin dort nicht Kunde, wie könnte die Bank also nach meinen Bankdaten fragen? Nicht immer ist es so einfach, eine Mail als kriminelle Phishing-Attacke zu entlarven. Es ist aber möglich, Anzeichen gibt es genug.
Zum ersten: Keine Bank fragt nach diesen Daten.
Alle weiteren Details sind insoweit überflüssig, für andere Fälle jedoch interessant zu wissen.
{mospagebreak title=Was Phisher zur Tarnung tun}
Einiges haben die Verbrecher zur Tarnung getan:
Das Design ist das der Deutschen Bank, ebenso der in der Mail-Adresse angegebene Domainname. Unten rechts steht noch ein Copyright-Hinweis.
Und die Mail passierte problemlos den Spam-Filter von GMX – aber Spam und Phishing sind nicht dasselbe, der Spam-Filter schafft keine Sicherheit.
Die angebliche Ziel-Adresse des sichtbaren wie ein Link aussehenden Textes beginnt mit "https" – das weist auf eine sichere Verbindung hin und ist an sich gut, ja notwendig für sensible Daten aller Art. Aber es ist nicht der wirkliche Link:
{mospagebreak title=Verräterische Indizien}
Was ist verräterisch? Fahren Sie einmal mit dem Zeiger Ihrer Maus über den Text, ohne zu klicken – er verändert sich zu der Form, die er über einem Hyperlink annimmt. Warum? Es ist kein Text, sondern eine Grafik, die verlinkt ist. So will er die Zahl der (versehentlichen) Klicks maximinieren. Das macht kein seriöser Mail-Versender.
E-Mails im HTML-Format machen es möglich, E-Mails schöner zu gestalten. Aber auch, Objekte zu verstecken.
Je nach Browser können Sie sehen, auf welche Web-Adresse der Link wirklich verweist. Siehe da: da steht nichts mehr von der Deutschen Bank, sondern nur eine IP-Adresse. Das ist zumindest verdächtig. Flink nachgeschlagen zeigt sich: Der Rechner mit dieser IP-Adresse (219.156.123.230) steht nicht in Frankfurt am Main oder in Deutschland, sondern in China, in der Provinz Henan. Die Mail selbst wurde von einem Rechner in Kalifornien verschickt.
Nicht jeder Browser zeigt den wahren Link: Opera und Firefox entlarven ihn, während Microsofts Internet Explorer den falschen zeigt.
Der Text verrät auch ein wenig: Der Satz hinter dem "Link" ist nicht korrekt. Das aus dem "Erfüllen" ein "Erfullen" wurde, ist dem Umstand geschuldet, dass die Absender die deutschen Umlaute nicht korrekt umsetzen konnten.
Darauf aber sollte man sich nicht verlassen: Keine Bank und keine andere seriöse Firma verschickt solche Anfragen. Per Internet ebenso wenig wie per Telefon oder Brief.
Und wie Sie etwas hinter die kriminelle Kulisse gucken können, wissen Sie jetzt auch.
Und wie Sie etwas hinter die kriminelle Kulisse gucken können, wissen Sie jetzt auch.
Die Bank hat den kriminell genutzten Server übrigens binnen weniger Stunden abschalten lassen. Die Seite liess sich noch aufrufen, aber die Daten hätten die Kriminellen nicht mehr erreicht.
Und jetzt: Löschen!
Und jetzt: Löschen!
—–
Der Autor, Andreas Hasenkamp, ist Berater für Web-Marketing in Münster
Dr. Andreas Hasenkamp
Online-Marketing-Beratung A. Hasenkamp
Bahnhofstraße 8
48324 Sendenhorst (bei Münster)
Tel. 02535 931304
