Wir haben es sicherlich alle schon einmal erlebt, dass wir eine E-Mail in unserem Posteingang gefunden haben, in der wir aufgefordert wurden, bei bestimmten Diensten unsere Daten zu überprüfen oder zu verifizieren.
In den meisten Fällen sind diese Phishing-Mails aber in sehr schlechtem Deutsch verfasst oder es befinden sich zahlreiche, einfache Rechteschreibfehler in der Mail, so dass man auch als leichtgläubiger Nutzer direkt erkennen sollte, dass es sich dabei um einen Betrugsversuch handelt.
Woran erkennt man, ob es sich um eine Phishing-Mail handelt?
Wie oben bereits erwähnt, sind Phishing-Mails meist in sehr schlechtem Deutsch verfasst oder es befinden sich zahlreiche, einfache Rechtschreibfehler in der Mail. Besonders wenn die Phishing-Mails unprofessionell geschrieben wurden. Ein weiteres Anzeichen für eine Phishing-Mail ist die persönliche Anrede:
In den meisten Phishing-Mails wird man mit "Lieber Kunde / Liebe Kundin" oder ähnlich angesprochen. Eine allgemeine Anrede also. Ein Unternehmen wie eine Bank würde einen Kunden in einer E-Mail aber niemals mit einer allgemeinen Anrede, sondern immer mit dem vollständigen Vor- und Nachnamen ansprechen.
Bei diesen ersten Anzeichen sollten bei einem schon die Alarmglocken angehen.
Aufforderungen in der Phishing-Mail
In fast allen Phishing-Mails wird man aufgefordert eine bestimmte Aktion durchzuführen. In den meisten Fällen sind das angebliche Verifizierungsvorgänge von persönlichen Daten, aus Sicherheitsgründen natürlich. Am Ende der Phishing-Mail findet man dann in der Regel einen Link, der einen zu einer Phishing-Webseite führt.
Diese Phishing-Webseite sieht dann exakt so aus, wie zum Beispiel die Originalseite der Bank. Lediglich am Domainnamen, der Internetadresse, wurden einige Zeichen geändert, so dass man es nicht direkt auf den ersten Blick erkennt.
Wenn das ahnungslose Opfer sich nun auf dieser Webseite mit seinen Anmeldeinformationen einloggt, dann hat die Falle bereits zugeschlagen. Die vom Opfer auf der Phishing-Website eingegebenen Informationen werden dann nicht zum Server der Bank, sondern zum Server des Angreifer gesendet. Und wenn der Angreifer im Besitz von vertraulichen Informationen ist, dann kann er ziemlich böse Sachen damit anstellen.
Phishing durch DNS-Spoofing
Als DNS-Spoofing bezeichnet man das gezielte Manipulieren von Einträgen im Domain-Name-System. In der Regel geschieht DNS-Spoofing durch Manipulation der DNS-Serveradresse auf dem Opfer-System. Dies kann zum Beispiel von einem Trojaner wie DNS-Changer ausgehen.
Wenn ihr zum Beispiel http://www.bank.de/ in eurem Webbrowser aufrufen möchtet, dann wird, noch bevor die Kommunikation mit dem Webserver erfolgt, eine DNS-Anfrage an den euch zugewiesenen DNS-Server gesendet. Dieser schickt dann die IP-Adresse vom Server unter http://www.bank.de/ zurück, so dass die TCP/IP-Verbindung aufgebaut werden kann.
Wenn aber nun die Adresse des DNS-Servers, der zur Auflösung von www.bank.de verwendet wird, von einer Malware manipuliert wurde, dann schickt euer Browser beim nächsten Aufruf von http://www.bank.de die DNS-Anfrage an den neuen feindlichen DNS-Server. Dieser feindliche DNS-Server schickt daraufhin eine komplett andere IP-Adresse zurück, die gar nicht zum Webserver eurer Bank gehört.
Hinter der IP-Adresse steht dann der Webserver des Angreifers, auf dem eine glatte Kopie des Bank-Logins zu finden ist. Und was dann passiert, brauche ich jawohl nicht zu erwähnen, außer das die dort eingegebenen Informationen dann am Ende beim Angreifer und nicht bei eurer vertrauenswürdigen Bank landen.
Was wir daraus lernen
Dass man in E-Mails von scheinbar vertrauenswürdigen Firmen auf die Anrede und auf Rechtschreibfehler achten sollte und dass man sich nur direkt auf der originalen Seite der entsprechenden Firma einloggen soll. Okay, das mit dem Anmelden auf der originalen Seite ist jetzt leicht gesagt, da man wegen DNS-Spoofing hier auch wieder nicht 100 Prozent sicher sein kann.
Aus diesem Grund empfehle ich für Firefox-Nutzer die sich regelmäßig auf brisanten Webseiten einloggen, das Addon Flagfox. Dieses Addon zeigt euch rechts in der Adressleiste den Serverstandort und die IP-Adresse des Servers an. Anhand dieser könnt ihr die IP-Adresse mit der eurer vertrauenswürdigen Seite (wie zum Beispiel beim Online-Banking eurer Bank) abgleichen.
