Eine etwas unübliche und tatsächlich recht gut gemachte Phishing-Mail erreichte mich gerade angeblich von Paypal. Was mich etwas verwirrte war, dass es sich angeblich um eine Zahlung an mich handelte. Rechnet man bei Phishing-Mails doch sonst eher mit Rechnungen oder Account-Verifikationen, so sollte ich dieses mal doch tatsächlich Geld erhalten...

Nach einem Augenblick des Nachdenkens verzog sich jedoch die Freude über den unvorhergesehenen Geldregen, denn zwei Dinge enttarnten die Mail auf den zweiten Blick schnell als Phishing-Mail. Punkt Nummer eins: Paypal spricht Deutsch zu mir. Normalerweise zumindest, denn diese Mail ist auf Englisch verfasst. Punkt zwei: Der gute, alte Link-Trick. Hält man nämlich die Maus über den Link mit den angeblichen Transaktionsinformationen, dann enttarnt sich der Link als mitnichten auf Paypal, sondern auf einen Server mit einer Länderkennung in der Republik Kongo zeigend. (Länder Top Level Domain (ccTLD) ".cd" – siehe Wikipedia.)

Recht gut gefälscht ist in diesem Fall dann noch die Serverkennung des Mailservers, von dem aus die Mail verschickt wurde. Wie man auf dem folgenden Bild sieht, hat sich der Mailserver meinem Mailserver gegenüber tatsächlich mit der Kennung "paypal.com" gemeldet. Eine Reverse-DNS Abfrage der genannten IP Adresse ergab jedoch schnell, dass für diese IP-Adresse gar kein Domainname registriert worden ist. Große Provider wie AOL & Co nehmen E-Mails von solchen IP-Adressen schon gar nicht mehr an, und genauso sollten sie anderen verdächtig sein. Denn von Paypal kommt diese Mail dann ganz bestimmt nicht.



Lustiges Detail am Rande: Man beachte einmal die Passwort-Sicherheitshinweise auf der rechten Seite der Mail. Sogar diese haben die Versender unverändert von einer originalen Paypal Mail übernommen. Man kann seine Opfer ja vorsichtshalber gleich noch einmal warnen, bevor sie den gefährlichen Link klicken.

-Daniel

Die letzten Berichte über Fake-Mails von der GEZ und dem BKA sind noch nicht ganz ausgeklungen, da schwappen schon wieder neue Wellen in die heimischen Postfächer. Dieses mal hat es IKEA, Amazon und Paypal erwischt.

Auffällig ist, dass in den neuen Mails zunehmend versucht wird starken Druck auf den Empfänger auszuüben, indem gleich am Anfang der Mail darauf hingewiesen wird, dass man Einspruch gegen den hypothetischen Einkauf einlegen könne, aber nur wenn man "rechtzeitig" reagiere, ohne dann eine genaue Frist zu nennen. Das soll den Leser wohl dazu verleiten noch nicht einmal den Rest der E-Mail zu lesen, und stattdessen gleich auf die Angebliche Rechnung mit den Details zu klicken. Natürlich sollte man diesem Schema tunlichst nicht folgen. Wie üblich enthüllt nämlich ein gründlicher Blick auf die Mails wiedereinmal, dass es eben wirklich Fakes sind.

Der Autor der IKEA-Mails zum Beispiel hat es sich ganz einfach gemacht. Betrachtet man nämlich das Ende dieser Mail, so kommt es dem Leser dieses Blogs doch bestimmt schon bekannt vor...

Der Herr Zumwinkel also wieder. Den hatten wir doch letztlich schonmal.

Zudem werfe man einen Blick auf die Absender-Adresse der Mail: billy.regal@ikea.de
Haha, wie lustig. Der Absender hat wirklich Humor! Muss ich da noch mehr sagen?

Schwieriger als Fake zu entlarven war die angebliche Bestellbestätigung von Amazon.de, denn direkte Fehler sind in dieser Mail nicht zu erkennen. Lediglich die Kombination aus Absenderadresse "bestellung273@amazon.de" und "MR. Richey" als Namen des Absenders lassen aufhorchen. Besonders einer solchen Absenderadresse würde ich grundsätzlich nicht trauen. Warum sollte Amazon solche Zahlencodes benutzen, erst recht wenn diese Mail direkt von einem spezifischen Kundenberater kommen soll? Das macht irgendwie keinen Sinn.

Stammkunden wäre der Fake wohl eher aufgefallen, immerhin sieht diese Mail vollkommen anders aus als es echte Bestellbestätigungen. Besonders auffällig ist hier das im Fließtext erwähnte Produkt. Eine in dieser Art geschriebene Mail von einem Bestellsystem zu bekommen ist eher unüblich, sieht die Mail doch wie vollständig von Hand geschriebene aus. Auch stellt Amazon keine separaten Rechnung per Post zu, wie in der Mail behauptet, sondern legt diese den Lieferungen bei. Bei Anbietern des Amazon Marketplace ist das nicht anders.

Ist man tatsächlich Kunde eines solchen Online-Händlers, dann bleibt einem heute auch immer öfter online der Blick in das entsprechende Kundenkonto. Nicht nur Amazon.de bietet einen solchen Service, sondern auch viele andere.

Im Gegensatz zu den anderen Mails bin ich von der Paypal-Bestätigung selber einen Augenblick irritiert gewesen, immerhin sieht die Mail auf den ersten Blick tatsächlich täuschend echt aus. Teilweise scheint sie die direkte Kopie einer echten Paypal-Bestätigung zu sein. Auch ein Blick auf den Absender half hier nicht weiter, wurde hier doch tatsächlich die wirklich von Paypal benutze E-Mail-Adresse eingetragen. Leider ermöglichen die heutigen Mailsysteme es einen beliebigen Absender einzutragen, weshalb man dieser Angabe sowieso nicht trauen kann. So hilft uns dieses mal nur ein Blick in den so genannten "erweiterten Header" der E-Mail, den man sich in jeder vernünftigen E-Mail Anwendung anzeigen lassen kann.

Ein Blick auf die "Received" und "Message-Id" Tags zeigt uns, dass diese Mail keineswegs von Paypal, sondern vom Mailserver der Domain "sxmufyc.edu.cn" gekommen ist. Bei privaten Mails bedeutet dies leider nichts, denn wer weiß wo sein Gegenüber seinen E-Mail Account betreibt. Bei großen Firmen jedoch ist es ein Indikator für einen Fake. Immerhin würde Paypal bestimmt nicht regulär seine Mails über eine Kanadische Bildungsdomain versenden, was der oben genannte Server mit der Endung "edu.cn" aber andeutet.

Als letztes sei noch auf einen klassischen Fake-Link in der Paypal-Fake-Mail hingewiesen. Schaut man sich den, übrigens in den Original-Mails nicht vorhandenen, "Dispute Transaction" (Transaktion Anfechten) Link etwas genauer an, dann fällt einem auf, dass dieser gar nicht zur Paypal Homepage zeigt, sondern ebenfalls auf einen ganz anderen Server. Das oben gezeigte Popup mit dem echten Link erhält man in der Regel, wenn man mit der Maus über den fraglichen Link fährt ohne diesen anzuklicken. Gerade bei solch seltsamen Servern, wie dem oben gezeigten, sollte Vorsicht geboten sein. Wer weiß, was sich auf dieser Seite verbirgt, und zum einfachen ausprobieren sind übliche Windows-Systeme leider viel zu anfällig. Als lieber: Finger weg!

Manchmal muss man übrigens ziemlich genau hinschauen um erkennen zu können, dass es sich wirklich nicht um den gewünschten Server handelt. Welche Dinge hierbei zu beachten sind behandele ich aber ein anderes mal.

-Daniel

Mein Hinweis auf gefälschte Rechnungen der GEZ ist gerade einige Tage alt, da kommt schon die nächste Welle von E-Mail-Fälschungen daher. Dieses mal hat es das Bundeskriminalamt (BKA) erwischt, und sogar die Qualität der Mail ist in diesem Fall erstaunlich hoch. So finden sich keine ersichtlichen Falschaussagen im Text, lediglich ein überflüssiges Wort im vorletzten Satz zeugt davon, dass der Text vor dem Versand wohl nicht vernünftig durchgelesen worden ist. Aber das passiert auch einem wirklichen E-Mail-Schreiber einmal, weshalb man sich daran nicht aufhängen sollte.

Das Referat LS 2 des BKA in Wiesbaden gibt es tatsächlich (siehe hier), auch einen Herrn Stock gibt es beim BKA. (Jürgen Stock ist einer der beiden Vizepräsidenten des BKA. Siehe Wikipedia-Link.) Die Telefonnummer ist Herrn Stock ohne einen Test, von dem man tunlichst absehen sollte, das arme BKA kann sich vor Anrufen bestimmt kaum noch retten, nicht definitiv zuzuordnen. Aber lassen wir das einfach mal außen vor.

Etwas seltsam sieht meines Erachtens die E-Mail-Adresse des BKA aus. Entweder die Trojaner/Spam-Versender haben diese erfunden, oder das BKA benutzt tatsächlich sehr künstlich aussehende E-Mail-Adressen. Die persönliche Adresse von Herrn Stock ist es jedenfalls nicht. Zwar nenne ich diese sicherheitshalber hier lieber nicht, via Google ist sie jedoch problemlos in Erfahrung zu bringen.

Besonderer Aufmerksamkeit bedarf es des im Fließtext erwähnten Anhangs, der angeblich ausdruckbar sein soll. Aber nicht nur der Name der angehängten Datei sieht verdächtig aus, die verwendete Zahl scheint komplett aus dem Kontext gerissen zu sein, was mich generell stutzig werden ließe, sondern auch die Endung ist ein 100%iger Hinweis auf einen Virus oder einen Trojaner. Immerhin werden mit der Endung ".exe" die Ausführbaren Dateien (also Programme) unter Windows bezeichnet. Von einem druckbaren Dokument ist hier weit und breit nichts sehen.

Bei manchen E-Mail Anwendungen (und Betriebssystemen) ist es übrigens nötig, das Zeigen von Dateiendungen einzuschalten, damit man eben diese Endungen wie ".exe" oder ".pdf" überhaupt angezeigt bekommt. Der im obigen Bild gezeigte Anhang würde sonst nur als "9286848" sichtbar sein, und wäre so nicht zweifelsfrei als Virus/Trojaner zu identifizieren. Stellen Sie also unbedingt sicher, dass Ihr System entsprechend konfiguriert ist.

Zu guter Letzt hat mich noch die genannte IP-Adresse stutzig gemacht. Jeder, der sich im Internet bewegt, hat eine solche. In der Regel gehören diese zu einem ganzen Pool von IP-Adressen, die Ihrem jeweiligen Internet-Provider, oder dessen Partner, zugeordnet sind, und von denen Sie in der Regel zufällig und wechselnd eine zugeordnet bekommen. Welchem Internet-Provider Ihre aktuelle IP-Adresse gehört, das lässt sich problemlos, und ohne die eigene IP-Adresse selber ermitteln zu müssen, auf der folgenden Seite feststellen: http://www.schwarzl.at/ipcheck.html

Wie man sieht, wird die eigene IP-Adresse automatisch eingetragen. Man muss nur noch mit "Abfrage ausfueren" bestätigen, und die so genannte WHOIS-Abfrage der IP-Adresse wird ausgeführt und angezeigt. Hier ein Ausschnitt aus meiner Abfrage:

Der gezeigte IP-Adressenbereich von 89.59.128.0 bis 89.59.128.255 ist der freenet Cityline GmbH zugeordnet, die der Dienstleister für meinen Internet-Provider Meome ist. Ruft man nun den WHOIS-Eintrag der IP-Adresse aus der E-Mail ab (ohne weitere Eingabe mit diesem Link), dann zeigt sich folgendes Bild:

Man sieht, dass diese IP-Adresse zur Schlund + Partner AG gehört, und sofern ich nicht innerhalb der letzten Zeit meinen Internet-Provider gewechselt habe, was nicht der Fall ist, dann ist hier eindeutig etwas faul.

Fazit: Wieder einmal haben wir eine Trojaner-Mail durch Nachdenken und ein wenig Recherche eindeutig als Fälschung überführt. Glauben Sie also nicht allem, was in Ihrem Briefkasten landet. Wenn es wichtig ist, wie bei echter Post vom BKA zum Beispiel, wird der Absender außerdem bestimmt nicht nur per E-Mail Kontakt mit Ihnen aufnehmen. Dafür ist das Medium E-Mail eben -leider- einfach zu unsicher (geworden).

-Daniel

P.S: Das BKA hat selber auch einen Hinweis zu den gefälschten E-Mails auf Ihrer Homepage veröffentlicht.

Seit einigen Tagen trudeln wieder einmal reihenweise E-Mails mit fast exakt dem selben Inhalt in meiner Mailbox ein... Die Stunde der Trojaner-Mail-Flut hat also erneut geschlagen. Und dieses mal hat es die GEZ erwischt, was dem ganzen irgendwie eine gewisse Tragik verleiht, ist doch gerade die GEZ immer wieder durch ihre fragwürdigen Akquise- und Kontrollverfahren aufgefallen. Aber darauf möchte ich heute gar nicht eingehen, sondern mich auf die Trojaner-Mails konzentrieren, die dieser Tage wieder so eifrig unterwegs sind. Benutzt man nämlich seinen gesunden Menschenverstand, dann fallen einen beim betrachten dieser Mails so einige Ungereimtheiten auf.

Als erstes möchte ich einmal bemerken, dass mir bisher niemand, ich wiederhole, niemand bekannt ist, der Initiativ-E-Mails von der GEZ, in welcher Form auch immer, erhalten hat. Soll heißen: Wenn die GEZ bisher etwas zu sagen hatte, dann per normaler Post und dazu noch mit einem ziemlich bissigen Ton. (Der Ton in den E-Mails ist tatsächlich eher freundlich gehalten.) Auch ist es unüblich, dass man von der GEZ monatliche Rechnungen, und dann auch noch über horrende Summen erhält, ist man doch zur regelmäßigen Zahlung verpflichtet.

Dem ganzen aber noch nicht genug, liest man nämlich die Mail bis zum Ende, dann fällt einem folgender letzter Absatz auf:

Aaaaah ja. Man beachte besonders den letzten Satz. Die Aussage, dass nur Leute betroffen seien, die bisher weniger als zwei Rundfunkgeräte angemeldet haben, ist definitiv faktisch falsch. Klassisch für Trojaner-Mails übrigens. Ich kann mich an keine erinnern, bei denen nicht zumindest ein auffälliger Fehler zu finden gewesen wäre. Ein Fakt, den man sich unbedingt merken sollte.

Aber es geht noch weiter. Betrachten wir den Fuß der besagten E-Mail:

Mmmmh. "Dr. Klaus Zumwinkel" kommt mir irgendwie bekannt vor, mag sich so mancher denken. Klar, nur hat dieser aber auch wirklich rein gar nichts mit der GEZ zu tun, sondern ist seines Zeichens Vorstandsvorsitzender der Deutschen Post AG. (Wikipedia-Link) Die restlichen Daten (Handelsregistereintrag und Umsatzsteuer-Id) passen dann noch nicht einmal zu Herrn Zumwinkel, so gehört der Handelsregistereintrag "HRB 12903" in Koblenz zur Firma WOLFF GmbH aus Brohl. (Kostenlos nachzuschlagen unter www.handelsregister.de) Die Herkunft der Umsatzsteuer-Id war auf die schnelle nicht zu klären, was nach der aktuellen Sachlage aber auch nicht mehr nötig zu sein scheint.

Fazit: Wenn man mit ein wenig mit ein wenig Verständnis an unübliche E-Mails herangeht, dann sollte man auch keine Probleme mit Viren, Trojanern und Phishing-Mails haben. Meistens entlarven diese sich durch Unregelmäßigkeiten oder falsche Details problemlos von selbst, und das schon bevor man überhaupt daran denken sollte den Anhang zu öffnen. Man muss eben einfach nur etwas genauer hinschauen, und zur Not weiß bestimmt auch Google noch Rat.

-Daniel