Aktuelle Werte

[Most Recent Quotes from www.kitco.com] [Most Recent Quotes from www.kitco.com]

Gefälschte AdWords / Google-Mails erkennen

Spam gehört heute zum Alltag und das wird sich auch nicht mehr ändern. Auch die meisten Phishingmails lassen sich auf den ersten Blick erkennen oder verfehen schon per Betreff das Ziel. Weil die falsche Bank, die falsche Sprache verwendet werden… oder weil ganz einfach viel zu viele Fehler im (eingedeutschten) Text stehen. Bei Mails, die angeblich von Google stammen und z. B. zum Login bei Google AdWords oder einem anderen Google-Dienst wie AdSense, Google Mail, Google Analytics u. A. verleiten sollen, sieht das schon anders aus. Google sendet selbst schließlich auch recht schmucklose authentische Nachrichten per E-Mail an seine Benutzer; teilweise auch ungeachtet der Sprache des Nutzers in englischer Version. Und da eben viele Internetnutzer den einen oder anderen Google-Dienst benutzen – und Spamlisten praktischerweise auch gleich voll von gmail-Adressen sind – fällt die Menge der Opfer einer solchen Phishing-Attacke auch üblicherweise recht hoch aus. Wie aber kann man sich davor schützen… und wie erkennt man schon vor dem fatalen Klick, dass es sich um eine gefälschte E-Mail handelt?

Am Beispiel einer falschen Google – Mail kann die Vorgehensweise gezeigt werden, die auch für viele andere Phishing-Attacken zum Ziel – der Erkennung – führt. Denn grundsätzlich haben alle Phishing-Attacken die gleiche Absicht: Sie zur unwissentlichen Herausgabe sensibler Daten wie Anmeldeinformationen zu bewegen, um diese Daten dann in verschiedenster Form zu missbrauchen.

Die falsche AdWords-E-Mail

Je nachdem, welche Welle gerade durch das Internet schwappt, variiert der Betreff und Zweck der gefälschten Google-Mails. Meistens geht es aber im Fall von Google darum, dass etwas mit dem AdWords- / Google Mail- / xyz- Konto nicht stimmt und Sie sich einloggen und die Informationen auf den aktuellen Stand bzw. das Problem beheben sollen.

Für Google Adwords – Phishingversuche geht es also meistens um Zahlungsprobleme und / oder Kontoreaktivierung. Und häufig sind diese Nachrichten in englischer Sprache abgefasst. Obschon Sie normalerweise Deutsch als Sprache im Konto eingestellt haben und daher auch E-Mails mit deutschen Texten von Google AdWords bekommen, fällt Ihnen dies aber möglicherweise gar nicht auf. Es sollte Sie aber auf jeden Fall stutzig machen.

Der Betreff der Mail lautet dann “Account Reactivation.“, “Reactivate Your AdWords Google Account.” o. Ä. Der Text entspricht auch meistens dem echten Vorbild – oder macht zumindest inhaltlich und stilistisch keinen auffälligen Eindruck (z. B., wenn es gar keine solche Benachrichtigung im echten Leben gibt).

Am Ende der Nachricht befindet sich ein Link, auf den geklickt werden soll, um sich im AdWords-Konto anzumelden und das Problem zu beheben. Dieser Link führt aber nicht zum im Linktext angebenen Ziel, sondern auf eine ganz andere Seite auf einem ganz anderen Server der auch definitiv nicht Google gehört, sondern dem Angreifer, der diese gefälschte Mail versendet hat und der es auf Ihre Logindaten abgesehen hat. Die Abbildung zeigt eine solche Mail, wie Sie in Outlook angezeigt wird.

Gefälschte Phishing-E-Mail von Google

Linkziel prüfen

Bewegt man in Outlook die Maus über den Link, wird das eigentliche Linkziel als Hinweis angezeigt. Und hier sieht man (in der Abbildung rot markiert) auch, dass der Link gar nicht zu Google, sondern auf einen anderen Server (in diesem Fall “sovmn.cn” im schönen China) führt. Diese Nachricht ist also ganz offenkundig nicht von Google, sondern von jemandem, der Ihre Daten stehlen will und Ihnen zu diesem Zweck auf eine gefälschte Webseite locken will.

Sie müssen aber nicht unbedingt Outlook einsetzen, um den falschen Link zu erkennen. Viele Mailprogramme bieten eine ähnliche Funktion – oder verwenden zur Anzeige von HTML-Mails intern den Internet – Explorer, so dass Sie über das Kontextmenü (rechte Maustaste) des Links auf dessen Eigenschaften zugreifen können. Dort steht unter “Adresse (URL)” dastatsächliche Ziel eines Links.

Auf diese Weise können Sie auch in fast jedem Browser entweder die Eigenschaften eines Links kontrollieren oder zumindest die Linkadresse / das Linkziel in die Zwischenablage kopieren und danach in einem Editor oder beliebigen Eingabefeld einfügen und betrachten. Das hilft also auch bei der Erkennung, wenn Sie gar kein Mailprogramm einsetzen, sondern die Nachrichten über den Browser auf der Mailanbieter-Website verwalten.

Spätestens ein Blick in den Quellcode der Mail bzw. der anzeigenden Webseite bei einem Webmailer, der ebenso über das Kontextmenü des Browsers oder der Ansicht in Outlook möglich ist, gibt Aufschluss über das Linkziel. Suchen Sie dazu im angezeigten Quelltext nach dem “Ankertext” des Links – also dem Text, der unterstrichen dargestellt ist und auf den Sie Klicken sollen. Die folgende Abbildung zeigt den entsprechenden Abschnitt des Quelltexts der oben dargestellten falschen Google – E-Mail; markiert ist das tatsächliche Linkziel, welches beim Link als href angegeben ist.

Quelltext der gefälschten Mail

Weitere (typische) Unterschiede

Auch vom Link abgesehen fallen hier einige Dinge auf:

  • Die Nachricht ist nich personalisiert, sondern an den “Lieben Werbebetreibenden” gerichtet. Google kennt Ihren Namen aber; zumindest wenn es um AdWords geht. Auch andere Phishingmails (zu anderen Themen) weisen dieses Merkmal auf und verwenden teilweise sehr ungewöhnliche Anreden.
  • Der Text ist englisch. Wie schon gesagt, in diesem Fall sollte er eigentlich deutsch sein. Andere Phisingmails zeichnen sich zudem oft durch holprige Rechtschreibung aus.
  • Das Format: Die Mail wurde zwar als HTML versendet, soll aber wie eine “nur Text” – Nachricht aussehen, indem nur eine Schriftart, keine Schriftstile und keine Grafiken oder Hintergründe eingesetzt werden. Auch dies ist typisch für solche Nachrichten, denn in einer “nur Text” – Nachricht vermutet man nichts Böses.

Was passiert, wenn man trotzdem klickt?

Wer dennoch auf einen solchen Link klickt, landet in der Regel auf einer Seite, die der Originalseite möglichst ähnlich sieht – in diesem Fall der AdWords-Loginseite. Im Fall von Google ist es durch das schlichte Design recht einfach, aber auch kompliziertere Layouts lassen sich ohne großartige Kenntnisse vom Original übernehmen und dann in angepasster Form anbieten. In seltenen Fällen kommen Phisingsites auch heute noch “handgestrickt” und auf den ersten Blick auffällig daher. Das ist meistens dann der Fall, wenn es gar kein passendes Original im Web gibt, sondern nur ein vertrauenerweckender Firmenname zum Einsatz kommt.

In der Regel können Sie selbst ohne entsprechende Hilfsmittel (siehe unten) eine gefälschte Site nur an der Adresse erkennen. Oft – wie im Beispiel – steht zwar am Anfang und am Ende der Adresse mehr oder weniger das, was Sie dort erwarten (so dass es einem beiläufigen Blick auf die Adresszeile des Browsers vielleicht noch standhält), die Adresse ist aber länger, weil dazwischen der Name des echten Servers steht, der sich ggf. durch Verwendung einer Subdomain als das Original “tarnt”. Übersehen Sie dieses Anzeichen, hilft keine Software bei der Vermeidung des Phishingversuchs und finden Sie auch sonst nichts auffällig an der Seite, werden Sie vermutlich Ihre Logindaten bedenkenlos eingeben.

Was nun passiert, hängt ganz von der Kreativität des Angreifers ab. Ist es ihm egal, dass Sie bemerken, dass die Daten gestohlen wurden, braucht die Seite gar nichts zu machen oder er kann sich seiner Tat sogar in der nach Absenden des Formulars gelieferten Seite brüsten. Damit es aber möglich ist, mit den gerade gestohlenen Daten einen Schaden anzurichten, sollten Sie möglichst nichts davon mitbekommen, dass der Diebstahl überhaupt statt gefunden hat. Der Angreifer wird also versuchen, Ihnen möglichst den Weg zu Ihrem eigentlichen Ziel – dem Login beim Betreiber der Originalseite – zu erleichtern und den Angriff zu vertuschen. Das könnte das z. B. darin geschenen, dass er die gerade angefangenen Daten nun zur Anmeldung an die Originalseite weitersendet und Sie anschließend genau das sehen, was Sie erwartet haben. Das klappt aber in den meisten Fällen nicht, weil sich die Betreiber der Originalseiten wie z. B. Google auf verschiedenste Weise dagegen absichern.

Es ist aber relativ einfach, Ihnen eine Fehlermeldung unterzuschieben, denn so etwas passiert dauernd. Die Meldung kann ausgegeben und anschließend die Originalseite geladen werden, auf der Sie den Login erneut versuchen. Es ist sogar möglich, die Fehlermeldung so über die echte Seite zu legen, dass Sie keinen Verdacht schöpfen. Es kann auch eine eigene “Fehlerseite” ausgegeben werden, die es Ihnen per Link (nun auf die echte Seite) anbietet, den Vorgang zu wiederholen. Oder es wird eine ganz andere Fehlermeldung – oder gar Bestätigung – erzeugt, die Sie erst einmal im Regen stehen läßt, bis Sie sich selbst durch Neueingabe der Adresse auf den Weg zum Originalanbieter machen. Es kann auch eine erfolgreiche Anmeldung vorgegaukelt, danach aber eine leere Seite im Design des echten Anbieters angezeigt werden. Diese können Sie so lange laden, bis Sie genug davon haben und selbst zur Neuanmeldung schreiten. In einigen Fällen (wie auch vielen der oben dargestellten “AdWords-Angriffe”) geht der Diebstahl nach dem falschen Login weiter und Sie werden auf ein Formular auf dem falschen Server geleitet, in dem weitere Daten wie Kreditkarteninformationen etc. abgefragt werden oder Sie vermeidlich die Aktion abschließen können, zu deren Erledigung Sie sich gerade angemeldet haben. Nach Abschluss der Aktion werden Sie dann unter einem fadenscheinigen Vorwand zum Klick auf einen Link auf die Originalseite und erneute Anmeldung bewegt.

Was tun, wenn es passiert ist?

In jedem Fall sind Ihre Daten aber gestohlen, so dass Sie sich nun eigentlich sofort auf der Originalseite anmelden und die Login-Informationen ändern sollten. Leider wissen Sie es zu diesem Zeitpunkt normalerweise noch nicht. Haben Sie dennoch nach einem Klick auf einen Link in einer Mail ein komisches Gefühl bei einem fehlgeschlagegen Login oder wurde Ihr erster Loginversuch komplett ignoriert und mußten Sie die Daten nochmals eingeben (danach hat es natürlich funktioniert), sind Ihre Daten nicht mehr sicher. Der Angreifer kann in Ihrem Namen handeln, Beiträge in Foren verfassen, Mails oder Bewertungen versenden, bei Auktionen bieten, Werbung über Ihr Budget schalten oder über ihr Konto verfügen – je nachdem, wo Sie leider auf einen Phishingversuch hereingefallen sind. Warten Sie also nicht, bis sich Ihr Verdacht bestätigt hat, sondern ändern Sie umgehend das Kennwort nach einem erneuten Login… möglichst auf einem anderen, mit aktueller Antivirensoftware versehenen Rechner und in einem aktuellen Browser, in dem auch keine überflüssigen Plugins installiert sind…

Welche Programme helfen und schützen?

Mailserver vieler Provider bieten einen integrierten Schutz vor Phishing-Attacken, wenn diese massenhaft versendet werden. So genannte “Blacklists” sorgen dafür, dass der versendende Rechner /anhand von IP und anderer Merkmale) dauerhaft für den Versand weiterer Spammails unbrauchbar ist. Nach einer recht kurzen Zeit werden solche Nachrichten also gar nicht erst zugestellt, sondern auf dem Server “vernichtet” oder abgewiesen. Dummerweise dauert es aber nicht lange, sehr viele Mails zu versenden. Es kann also durchaus sein, dass ausgerechnet Ihr Postfach zu den ersten Opfern gehört.

Der erste Ansatzpunkt ist also der Schutz des eigenen Postfachs vor Spam und insbesondere Phishing-Mails. Dazu dienen Programme verschiedenster Anbieter und Preisklasse, die entweder auf einem Rechner installiert werden und regelmäßig den Server überwachen oder direkt auf dem Server zum Einsatz kommen… entweder “Stand Alone” oder als Zusatzlösung zum verwendeten Mailserver. Heuristische Verfahren helfen hier zumeist zusätzlich zu dem von dem oben genannten Blacklistverfahren und Textfiltern für bestimmte Passagen und / oder Webadressen bei der Vermeidung unerwünschter Mails.

Kommt eine Mail dennoch bis in Ihr Mailprogramm, kann auch dort über entsprechende Erweiterungen Spam noch erkannt und in einen speziellen Ordner verschoben oder gleich gelöscht werden. Die meisten Anti-Virus-Pakate enthalten solche Zusatzprogramme für die gängigen Mailclients wie z. B. Outlook oder Thunderbird.

Versagt alles, kommt es noch darauf an, ob der Phishingversuch darin besteht, Sie per gefälschtem Link auf eine Phishing-Website zu locken oder ob ein gefälschtes Formular direkt in der Nachricht enthalten ist. Sendet das Formular die Daten direkt an einen (den falschen) Server, werden Sie im Zweifelsfall nichts davon merken. Ein Grund also, keine “Mailformulare” auszufüllen. Führt der Link aber auf eine Phishingsite, kann ein Phishingfilter im Browser ggf. noch dafür sorgen, dass Sie entsprechende Warnungen enthalten. Auch hier bieten Antivirus-Hersteller entsprechende PlugIns für nahezu alle Browser an; einzelner Hersteller statten die Browser ebenso mit einem Phishingfilter ab Werk aus. Diese sind allerdings meistens “nur” in der Lage, Phishing anhand von bereits gemeldeten Adressen zu erkennen.

Der Blick auf die Adresszeile des Browsers und der sorgfältige Umgang mit allen noch so subtilen Veränderungen auf einer in der Regel kaum häufigen Veränderungen unterworfenen “Loginseite” sollte also stets unabhängig von aller Technologie zu Ihrem täglichen Werkzeug gehören, bevor Sie sensible Daten in Webformulare eintragen.

Tags: ,

Einen Kommentar schreiben