Phishing - Qualvoll sterben im Bastelraum
07. Nov 2007 17:05
 |  Freundlich-hellblau: Eine Phishing-Mail | Foto: Screenshot/nz |
|
Früher waren Phishing-Mails mal gefährlich, weil sie User geschickt auf gefälschte Webseiten lockten und ihnen dort die Passwörter klauten. Heute sind sie nur noch dumm, findet
Maik Söhler.
Seit es das Internet gibt, gibt es auch Betrug mit den Mitteln des Internet. Lange bevor im Jahre 1993 das World Wide Web entstand, tummelten sich schon Betrüger durch dessen Vorläufer wie Arpanet und Usenet. Doch erst mit dem WWW und der dazugehörigen explosionsartigen Zunahme an Usern kamen Betrugsarten wie Phreaking, Pharming, Spoofing, der Einsatz von Dialern und natürlich das Phishing erst richtig zur Geltung.
Die Wikipedia datiert den ersten dokumentierten Phishing-Versuch auf den 2. Januar 1996. Betroffen war die US-amerikanische Usenet Newsgroup. Ergänzend heißt es auf Wikipedia weiter: «Die Anfänge des Phishings im Internet reichen bis zum Ende der 90er Jahre des 20. Jahrhunderts zurück. Damals wurden Nutzer von Instant Messengern wie z. B. ICQ per E-Mail aufgefordert, ihre Zugangsdaten in ein in der E-Mail enthaltenes Formular einzutragen. Mit den so erhaltenen Zugangsdaten konnten die Betrüger die Chat-Zugänge ihrer Opfer unter deren Identität nutzen.»
Betrüger und Betrogene
Mittlerweile geht es beim Phishing längst nicht mehr allein um Chat-Identitäten. Betrüger zielen vielmehr auf Passwörter, mit denen sie Zugriff auf die Online-Konten der Betrogenen bei Banken und elektronischen Zahlungssystemen wie Paypal erhalten und problemlos Geld abzweigen können. Dafür locken sie ihre Opfer zuvor auf eine gefälschte Website, wo der ahnungslose User dann Namen, Daten und Passwörter eingibt.
So richtig ernst muss die Phishing-Betrüger - außer den Betroffenen - eigentlich niemand nehmen. Das Internet ist voll mit Warnhinweisen zum Thema, zahlreiche Expertengruppen wie die A-I3 Arbeitsgruppe Identitätsschutz im Internet oder die Anti-Phishing Working Group unternehmen, was sie können.Dass dennoch die Zahl der Phishing-Opfer von Jahr zu Jahr anwächst, liegt jedenfalls nicht an mangelnden Informationen. In Deutschland wurden im Jahr 2006 insgesamt 3.250 Fälle gezählt - wobei 13 Millionen Euro von Konten gestohlen wurden. Das macht im Schnitt 4000 Euro pro erfolgreichem Betrug.
Haufig & ausserdem
Es liegt vielmehr daran, dass viele User so etwas überhaupt nicht wissen wollen. Sie bewegen sich im Internet und in ihrem Mailprogramm, ohne sich je näher damit beschäftigt zu haben. Hinzu kommt, dass die Arbeit einiger Phisher gar nicht so schlecht ist. Wikipedia dokumentiert im entsprechenden Eintrag einige Phishing-Mails und -Seiten, denen man eine gewisse Seriosität und fachliche Aufbereitung nicht absprechen kann.
Die meisten Phishing-Attacken kommen derzeit aus Russland und den USA. Beide Länder haben auf den jeweiligen Computertastaturen in der Regel keine Umlaute wie ä, ö oder ü zur Verfügung. Auch das schöne deutsche ß fehlt. Neben vielem anderen kann man Phishing-Mails auch daran erkennen, dass Worte wie «ändern», «häufig» oder «außerdem» falsch geschrieben sind - «andern», «haufig», «ausserdem». Auch weist der Stil dieser Schreiben viele Eigenwilligkeiten auf, da offensichtlich für Übersetzer nicht viel Geld ausgegeben wird.
Schluss mit Phishing
Aber gut, man ahnt, um was es geht, und wer darauf reinfallen will, der wird es auch tun - darauf beruht schließlich der große Erfolg der Phisher. Das dürfte sich nun dank einer neuen Phishing-Welle schnell ändern. Denn was in den letzten Tagen massenhaft in die Posteingänge der Online-Republik flatterte, das lässt das bekannte Schema «schlecht formuliert, aber verständlich» weit hinter sich.
Es geht schon beim Absender los. «Unterstutzung.» steht da. Die Betreffzeile macht es auch nicht besser: «Ihr citibank erklart moglicherweise getroffene schwarze Liste». Hm, rätselhaft. «Schwarze Liste» macht aber neugierig. Also weiter zum Text. «citibank» lautet die Überschrift, wir wussten ja schon aus dem Betreff, dass es nun um diese Bank gehen wird.Dann kommt der erste Knaller: «Die Regierung hat der Citibank die Vollmacht erteilt das Guthaben der Kunden auf Ein-Tages-Konten zu prufen. Das hangt mit den haufig ungesetzlichen Umsatzen auf diesen Konten zusammen. Im Laufe der Ermittlungen, die mit Hilfe des Finanzamtes durchgefuhrt wurden, wurden Rechnungen gefunden, die auf nicht-exisierende Personen registriert wurden.»
«Schwarze Konten»
Heieiei - ungesetzliche Umsätze wurden getätigt, Rechnungen nicht-existierender Personen sind aufgetaucht, es wird ermittelt, das Finanzamt und selbst die Regierung sind mit im Spiel. Ja, das ist doch mal ein guter, ein reißerischer Anfang, 007-mäßig, spektakulär. Wer hier nicht weiterliest, der weiß nicht, was Spannung ist: «Nach der Festnahme der Tater wurde bekannt, dass es im System insgesamt mehrere 'schwarze' Konten vorhanden sind. Um die illegalen Konten zu entdecken und gleichzeitig einen ungestorten Bankbetrieb mit den Kunden zu ermoglichen, wurde eine spezielle Form der Verifikation eingefuhrt.»
Sehr gut fortgeführt - «Festnahme», «Täter», «schwarze Konten», vor allem aber der Verweis auf ein dubioses «System». Alles hängt mit allem zusammen wird suggeriert, und der Bankbetrieb könnte dabei Schaden nehmen. Das kann doch niemand wollen. Also, möchte man rufen, nein: möchte man das Mailprogramm anschreien, also was können wir tun?
Ein Coup
Hier nun landet der unbekannte Absender einen Coup: «Die vielfaltige Autorisation soll dabei helfen, den Ort zu bestimmen, an dem der Eingang ins System durchgefuhrt wird, um somit die Entdeckung der 'schwarzen' Konten zu beschleunigen. Um auf die Form der Verifikation zu gelangen und sie ausfullen zu konnen, mussen Sie sich in Ihrem Konto einloggen.»
«Autorisation», «Verifikation» - Worte voller Würde, Autorität und Wahrheit treffen auf die schon bekannten Düstermänner «schwarze Konten» und, da ist es wieder, «System». Gut gegen Böse, ein Kampf der Giganten, nur einer kann gewinnen. Können wir nicht irgendwie helfen? Doch, ja, und das auch noch ganz einfach: «Das konnen Sie hier machen.» (Es folgt ein Link zu einer gefälschten Citibank-Seite)Bis zu diesem Punkt handelt es sich um Phishing vom Feinsten - Betrugsdramaturgie in Perfektion und große Unterhaltung in einem.
Sterben
Dann aber folgt der Schock. Das so schön hergestellte, mit so viel Kunst entwickelte Kleinod dreht plötzlich ab. Alle Logik geht verloren, am Ende der E-Mail werden nur Rätsel bleiben, die uns allein diese Passage aufgibt: «Geben Sie bitte keine Antwort auf sterben betreffende Mitteilung. E-Mail, gesandt ein Sterben betreffende Adresse, braucht keine Antwort. Um Hilfe zu leisten, gehen Sie ins System Ihres Kontos bei CitiBank ein und wahlen Sie Bastelraum Hinweis 'Hilfe' auf der beliebigen Seite aus.
Man versteht nichts mehr. Die ganze wunderbare Spannung verpufft mit einem Schlag zuungunsten eines dubiosen «sterben». Wo vorher von den finsteren Machenschaften des Systems mit «schwarzen Konten» die Rede war, geht es nun um den «Bastelraum».Wer darauf noch hereinfällt, ist selber schuld. Und muss zur Strafe im Bastelraum qualvoll sterben. Oder dort einfach nur all sein Geld abgeben. Wir anderen aber wissen jetzt: Phishing mit Stil gehört der Vergangenheit an.
