Wie Betrüger an E-Mail-Passwörter kommen ...

... ist manchmal auf den ersten Blick nicht nachvollziehbar. Bei privaten E-Mail-Postfächern hält sich, zumindest der materielle Schaden, oftmals in Grenzen. Richtig teuer kann es werden, wenn innerhalb einer Firma Zugangsdaten zu Passwörter ausgespäht werden. 

Meistens agiert die Täterschaft dabei so, dass sie vorgibt, als E-Mail-Provider zu handeln in der Hoffnung, dass eine Person aus dem Unternehmen darauf reinfällt.

 Einen sehr guten Beitrag dazu finden Sie auf der Website des Landeskriminalamtes Niedersachsen, der aus meiner Sicht lesenswert ist. Deshalb beendet ich an dieser Stelle meine Ausführungen und verweise auf den nachfolgenden Link:

Link zur Website des LKA Niedersachen 

Aktuelle Warnung: Ausspähen von Daten beim Verkauf bei eBay-Kleinanzeigen

Mit einem ganz miesen Trick wird derzeit versucht, Daten (zum Beispiel von Kreditkarten) auszuspähen. Dabei versucht die Täterschaft, ihre Opfer bei eBay-Kleinanzeigen zu finden. und zwar auf folgende Art und Weise:

Die Täterschaft sucht ihre Opfer unter den Anbietern. In einem aktuellen Fall wurde eine Couch-Garnitur zum Verkauf eingestellt. Das ist also eine Ware, die man nicht so einfach mit der Post verschicken kann. Normalerweise melden sich auf solche Anzeigen Interessenten, die dann vorbeikommen, bar bezahlen und die Möbelstücke dann mitnehmen.

Nun meldete sich die Täterschaft als Frau, die gut 200 Kilometer entfernt wohnt. „Kann ich die Bezahlung und die Lieferung über eBay organisieren?“ fragte diese beim Verkäufer nach. „Kenne ich nicht“, war die Antwort, doch zum Beweis dessen, dass es sich hier um einen neuen Service von eBay handeln würde, schickte die Täterschaft folgendes Bild:

 

„Dann ist ja alles klar“, dachte das spätere Opfer und war eigentlich froh, dass es die Möbelstücke verkauft hatte und sich um die Lieferung nicht mehr kümmern musste. Tatsächlich kam dann kurze Zeit später dann dieser Link: 

Finde den Fehler: Dieser Link sieht doch so aus, als gehöre er zu eBay-Kleinanzeigen. Beim genaueren Hinsehen kann man jedoch erkennen, dass der Link zu der Domain (Website) [de-kleinanzeigen.shop] bzw. zu der Sub-Domain [ebay.de-kleinanzeigen.shop] führt. Diese wurde Anfang November 2021 in der Ukraine registriert und dient offensichtlich nur dazu, Daten auszuspähen. Gibt man diese Subdomain ohne den hinter dem [/] stehenden Zusatz ein, erfolgt sogar eine Weiterleitung auf die richtige eBay-Website, allerdings auf die englischsprachige Website [ebay.com].

Als das Opfer auf den Link geklickt hatte, kam es auf eine Website, die augenscheinlich von eBay stammen könnte. Dort wurde es aufgefordert, sensible Daten einzugeben, die natürlich nicht bei eBay, sondern bei der Täterschaft landeten.

Aktuelle Warnung: SMS mit Paketbenachrichtigungslink

 Ich selbst war davon auch schon mehrere Male betroffen, Sie vermutlich auch: Seit Anfang dieses Jahres bekommen Smartphone-Nutzer eine SMS mit einem Link. Der Inhalt der Nachricht war [Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es …] oder so ähnlich (Variationen sind in solchen Fällen üblich).

Offenbar wird die derzeitige Pandemie ausgenützt, wo viele Geschäfte geschlossen sind und die Verbraucher auf den Online-Handel angewiesen sind. Aber was steckt dahinter? Ist es gefährlich, wenn man so eine SMS bekommt? Wie soll man sich verhalten?

Das Landeskriminalamt des Landes Niedersachsen, welches in Sachen Cybercrime eine hervorragende Präventionsseite hat und diese immer wieder aktualisiert, klärt darüber sachkundig und kompetent auf. Wer will, kann sich deshalb aus erster Hand informieren, weshalb ich den Link am Ende des Beitrags posten werde. Da der Beitrag ausführlich geschrieben ist und zum Verständnis etwas Hintergrundwissen notwendig ist, fasse ich die Erkenntnisse in Kurzform wie folgt zusammen:

Sicher scheint zu sein, dass eine Software nachgeladen wird, wenn man auf den Link klickt. Was diese Schad-Software anrichtet, ist unterschiedlich. Sicherlich kann sich das erfahrungsgemäß von Tag zu Tag ändern, denn Cyberkriminelle kommen immer wieder auf neue Ideen.

Ein relativ harmloser Schaden ist der, dass die Schad-Software dafür sorgt, dass über den Tag verteilt mehrere hunderte SMS von verschiedenen Rufnummern zugestellt werden. Einfach alle löschen, dann ist alles gut, auch wenn die SMS-Flut ärgerlich ist.

Nicht jede Schad-Software ist gleich, es gibt harmlosere als auch gefährlichere Malware. Anscheinend ist mit dieser Masche auch schon vorgekommen, dass anschließend die Fernsteuerung und Ausspähung des Smartphones beobachtet werden konnte. Heimtückisch daran ist, dass die Infektion vom Benutzer nicht bemerkt wird. Auch die Teilnahme an einem Botnetz (Zusammenschluss verschiedener Computer als auch mobiler Geräte mit Internetzugang) ist denkbar.

Auch eine Übernahme von Accounts sei möglich. Das BKA spricht von Google-Accounts, indem die Zwei-Faktor-Authentifizierung (Passwort, welches nur auf einem bestimmten Gerät funktioniert oder die Bestätigung dieses Gerätes verlangt) de facto ausschaltet. Wie es zum Beispiel mit eBay- oder PayPal-Accounts aussieht, ist nicht bekannt, jedoch aus meiner Sicht logisch, dass auch diese dadurch gefährdet sind.

Entwarnung für iPhone-Nutzer: Die Schadsoftware hat es auf Android-Geräte (also Smartphones) abgesehen. Diese kann nicht auf Apple iPhones installiert werden.

Einigermaßen auf der sicheren Seite können Sie sein, wenn Sie in den Einstellungen ihres Smartphones die Installation unbekannter Apps verboten haben. Überprüfen Sie jedoch unbedingt, ob diese Einstellung so noch stimmt oder nicht. 

Was tun, wenn Sie den Verdacht haben, dass Ihr Smartphone bereits infiziert sein könnte? Die Antwort ein einerseits einfach und dennoch umfangreich: Überprüfen Sie, ob in jüngster Zeit neue Apps installiert wurden. Das ist der einfache Teil der Antwort. Wie Sie das machen können (der umfangreichere Teil der Antwort), erklärt sehr ausführlich die Website des LKA Niedersachsen. Deshalb hier der Link:

 

Link zur Website LKA Niedersachen, Prävention mit Anleitung zur Hilfe

Internet-Verkäufer sind bevorzugte Phishing-Opfer

 

Phishing ist schon lange ein Phänomen der Internet-Kriminalität. Darunter versteht man das widerrechtliche Beschaffen von persönlichen Daten anderer, die eigentlich geheim sein sollten. Hauptsächlich Passwörter zu E-Mail-, eBay- oder PayPal-Accounts aber auch Zugangsdaten zum Online-Banking oder zu DHL-Packstationen stehen immer wieder im Interesse der Cyber-Kriminellen, weil diese Daten eine begehrte Beute sind.

Hat der Cyber-Kriminelle erst einmal Zugang, dann lässt sich damit sehr viel anfangen, sehr zum Leidwesen der Geschädigten. Der Bösewicht, der die Daten ausgespäht hat, nutzt sie oftmals gar nicht für sich selbst, sondern verkauft diese im sogenannten Darknet, wo man dafür durchaus gute Preise erzielen kann. Allerdings ändert das kaum etwas an den Auswirkungen für das Opfer, denn früher oder später hat sie ein anderer Bösewicht gekauft, der, im wahrsten Sinne des Wortes, teuflisch gute Ideen hat, was er damit anstellen könnte. Nicht zuletzt deshalb habe ich dieses Thema auch im 3. Buch der Cyber-Krimiserie „Jessica und die Odenwaldbande“ mit dem Titel „Der Narzisst“ aufgegriffen, um zu verdeutlichen, was danach alles passieren kann.

Grundsätzlich hat sich die Methode seit vielen Jahren nicht geändert: Das Opfer muss dazu gebracht werden, die Daten arglos preiszugeben, also, ohne dabei Verdacht zu schöpfen, dass die Daten ausgespäht werden könnten. Was jedoch die konkrete Vorgehensweise betrifft, so werden die Cyber-Kriminellen immer einfallsreicher, was sie auch müssen, weil die potentiellen Opfer sich nicht mehr so leicht überrumpeln lassen. Und trotzdem passiert es immer wieder, was mir nicht nur die angezeigten Fälle bestätigen, sondern was auch davon kommt, weil die Fallen einfallsreicher gestellt werden.

 

Die E-Mail von der Bank war früher das Musterbeispiel

Schon längst sind die altbewährten Methoden vielen bekannt, auch wenn hin und wieder einzelne Personen doch noch darauf reinfallen, aber es werden merklich weniger. Das Opfer erhielt eine E-Mail, wo als Absender zum Beispiel eine Bank genannt wird. In der E-Mail wird mitgeteilt, dass auf dem Konto verdächtige Vorgänge beobachtet worden seien und das Opfer wurde deshalb aufgefordert, seinen Online-Zugang mit seinen Daten nochmals zu bestätigen. Wenn es dies macht, gibt es arglos geheime Daten preis.

Die Täterschaft nutzt dabei den Umstand aus, dass in einer E-Mail sehr viel versteckt ist, was gar nicht angezeigt wird, zumindest nicht auf den ersten Blick. Dabei muss der Absender gar keinen großen Aufwand betreiben, denn im Gegensatz zu den Anfängen, wo eine E-Mail nur aus Text bestand, können heutzutage viele E-Mails wie Websites aufgebaut werden, wenn sie der Absender nicht extra als reine Textnachricht kennzeichnet.

Das beginnt schon mit dem Absender. Oftmals wird nur der Name angezeigt und nicht die vollständige E-Mail-Adresse. Selbstverständlich ist das sehr bequem und im Alltag auch praktisch, wenn ich auf einen Blick lesen kann, dass die E-Mail von meinem Freund Peter kommt und ich nicht zuerst nachdenken muss, wer hinter seiner merkwürdigen E-Mail-Adresse [superschlau85@xxx.de] steckt. Aber Vorsicht: So eine Absenderbezeichnung ist kein Personalausweis und deshalb kann hinter [Peter] auch der Absender [hinterlistig99@xxx.de] stecken.

Denn wenn man einen E-Mail-Account so einrichtet, dass man als Absender-Name zum Beispiel „Bundeskriminalamt“ wählt, dann kann sehr wohl dahinter auch die eigentliche E-Mail-Adresse [ede_wolf@panzerknackers.de] stecken. Wenn also beim Empfänger der E-Mail nicht die Einstellung gewählt wurde, dass der vollständige Name angezeigt wird, dann erhält der arglose Betrachter nur die Information, dass die E-Mail vom Bundeskriminalamt kommen würde. Gerade bei vielen Apps für mobile Geräte ist dies so eingestellt und da immer mehr Menschen das iPhone oder das Smartphone für den E-Mail-Verkehr nutzen, hat man sich daran gewöhnt und wird argloser.

Gleiches gilt natürlich auch für Banken, die gerne als Absender benutzt wurden. „Warum bekomme ich ein E-Mail von meiner Bank?“, ist vielleicht der erste Gedanke, wenn man den Absender sieht und dann die E-Mail tatsächlich den Eindruck erweckt, als würde sie tatsächlich von meiner Bank kommen. Wie ich bereits erwähnt habe, kann man eine E-Mail heutzutage wie eine Website aufbauen. Wenn Sie Werbe-E-Mails bekommen, dann sind diese so aufgebaut, dass dort Bilder platziert sind, die dem Empfänger neben der eigentlichen Nachricht angezeigt werden. Mitunter kann sie auch nur aus einer einzelnen Grafik bestehen.

So wird auf den ersten Blick, wenn über der eigentlichen Nachricht das vertraute Logo seiner Bank sichtbar ist, der Eindruck erweckt, dass diese E-Mail tatsächlich von meiner Bank kommt. Das Logo sieht genauso aus, wie es von der Website meiner Bank oder von meiner Banking-App her kenne. Leider lassen sich immer wieder die Menschen, die später zu Opfern werden, von solchen Äußerlichkeiten täuschen. Dabei ist es für die Täterschaft ganz leicht, ein Logo einer Bank (oder einer Firma oder von PayPal, etc.) zu benutzen, weil man es im Internet ohne große Anstrengungen einfach kopieren kann. Es erscheint also tatsächlich das vertraute Logo, aber es wurde gestohlen und wird nun missbräuchlich verwendet.

Trotzdem bleiben inzwischen nur noch wenige Menschen arglos, was verschiedene Gründe haben kann. Zum einen betonen die Banken immer wieder, dass sie diese Wege nicht nutzen, um ihre Kunden anzusprechen. Zum anderen hat vermutlich schon Jede oder Jeder eine E-Mail bekommen, wo ihre oder seine Bank behauptet, mit dem Konto würde was nicht stimmen, obwohl sie oder er dort gar kein Konto hat. Die Täterschaft muss bei dieser Herangehensweise die E-Mail blind verschicken und damit in Kauf nehmen, dass diese E-Mails auch Personen bekommen, die damit nichts anzufangen wissen und die danach vor solchen Methoden gewarnt sind.

 

Die Gauner gehen heute zielgerichteter vor.

Dieser Tage zeigte bei mir eine Frau, die bei eBay-Kleinanzeigen recht häufig gebrauchte Sachen verkauft, folgenden Sachverhalt an: 

Sie hatte zunächst einige Angebote eingestellt, alle zu Preisen unter 100 Euro. Natürlich wartete sie auf Nachrichten von Kaufinteressenten, als sie eine E-Mail bekam, angeblich von einer Susanne Huber (Name von mir frei erfunden). Frau Huber schrieb ihr, dass sie an einem der Angebote interessiert sei, aber dass sie von eBay eine Mitteilung bekommen habe, dass das Konto der Anbieterin gesperrt sei.

„Was ist da passiert?“, dachte die Frau und war erschrocken, weil sie sich keinen Grund denken konnte, warum ihr Konto gesperrt sei. Wie sie aus der Grafik 1 entnehmen können, war in dieser E-Mail ein Link (blauer Text, unterstrichen) versteckt, der auf den ersten Blick harmlos erschien. Wenn man die Website [https://www.ebay-kleinanzeigen.de/m-meine-anzeigen.html] aufruft, die wirklich von eBay stammt, dann sieht diese so aus:

 

Dabei folgender Ratschlag: Wenn Sie sicher gehen wollen, dass Sie die richtige Website aufrufen, dann sollten Sie den Link (in diesem Falle >>https://www.ebay-kleinanzeigen.de/m-meine-anzeigen.html<<) kopieren und in die obere Zeile ihres Browsers einfügen. Dann wird, abgesehen von harmlosen Umleitungen, tatsächlich die richtige Seite aufgerufen. Am Computer ist dies ziemlich einfach, bei Smartphones und Tablets ist dies schon etwas schwieriger und ist mit etwas Geschick und „Gewusst wie?“ verbunden.

Viel einfacher geht es, wenn man auf den Link klickt, weil dann die gewünschte Seite automatisch angezeigt wird. Aber gerade hier liegt die Falle: Man könnte davon ausgehen, dass der in Grafik 1 gezeigte Link auf die Website [https://www.ebay-kleinanzeigen.de/m-meine-anzeigen.html] führen würde, aber stattdessen führte er, was man dem Link auf den ersten Blick nicht ansah, auf die Website [https://ebay-kleinan.sn.am/muqwVbLzouq]. Diese sieht nämlich so aus:

 Wenn diese Website aufgerufen worden ist, dann steht das Opfer kurz davor, in die gestellte Falle zu tappen, denn wie Sie sehen, scheint dies eine Nachricht von eBay zu sein, dass der Account tatsächlich gesperrt worden sei. Aber es wird auch Abhilfe angeboten. Wie sie weiter aus der Grafik 3 entnehmen können, gibt es dort einen Button mit der Aufschrift [Konto aktivieren], welchen man klicken kann. In Anbetracht des zeitlichen Drucks, welches die Täterschaft durch die E-Mail der angeblichen Frau Huber geschaffen hatte, klickte unser Opfer nun auf den Button und gelangte auf diese Website:

 

Wie Sie sehen auch können, besteht diese aus einer Eingabemaske für die Daten „E-Mail-Adresse“ und „Passwort“. Die Webadresse lautet [https://ebay-kleinanzeigen-de-m-einloggen1.weebly.com/], aber wenn dieses übersehen wird, dann sendet man die Zugangsdaten zum Account nicht an eBay, sondern an die Täterschaft, die diese Website betreiben. Weebly ist ein Unternehmen mit Sitz in San Fransisco (USA), welche auf ihrer deutschsprachigen Seite kostenlose Websites anbietet und dazu auch Tools zum Erstellen  zur Verfügung stellt.

Damit kein Missverständnis aufkommt: Diese Firma ist NICHT die Täterschaft, sondern diese bedient sich nur deren Angebote. Daher gebe ich zum Schluss einen letzten Tipp: Wenn Sie überprüfen wollen, wohin ein Link führt, dann wird Ihnen das sowohl im Computer als auch in mobilen Geräten angezeigt, wenn Sie anstatt darauf zu klicken, nur über den Link fahren. Allerdings gehört dazu etwas Routine und Erfahrung.

 Ich hoffe, dass ich Ihnen mit diesem Beitrag dienlich sein konnte. Weitere Beiträge zum Themenkomplex „Cybercrime“ bzw. „Internet-Kriminalität“ finden Sie auch auf meiner Website [https://bjg-media.de/cybercrime/]. Schauen Sie unverbindlich rein, der Besuch ist garantiert kostenfrei.