Hero Image

# Vorsicht Phishing

sicherheit email

Wie verpacke ich eine Information so, dass sie vom Empfänger als möglichst authentisch empfunden wird?

Heute hatte ich eine ziemlich gut gemachte Phishing-Mail in meinem Posteingang, die ein Beispiel dafür ist, wie perfide diese Betrüger mittlerweile vorgehen. Was ich mir als Absender einer solchen Phishing Nachricht nämlich gut überlegen muss, ist der Weg und die Umstände WIE diese Nachricht verschickt wird, damit sie möglichst im Posteingang landet und nicht schon im Vorfeld abgeblockt wird oder im Spamordner landet. Eine kleine Reise.

So sieht diese E-Mail erst mal aus:

Was einem geübten Auge erst einmal auffällt:

  • Die Email Adresse hat so gar nichts mit Disney+ zu tun, sondern stammt von ilmversity.net:
  • Der Link hinter "Mein Konto aktualisieren" landet auf einer Disney "ähnlichen" Adresse:
  • Der Disclaimer im Fußbereich ist auf Französisch
  • Ich benutze bei Disney+ keine Lastschrift

Damit landet eine solche E-Mail bei mir sicher im Papierkorb.

Aber warum ist diese Nachricht erst in meinem Posteingang aufgetaucht und nicht direkt blockiert worden?

Zur Ehrenrettung von Microsoft 365 muss gesagt werden, dass dies sehr selten vorkommt und daher, wenn es vorkommt, meine Aufmerksamkeit bekommt.

Das führt unweigerlich zu der Frage: Was machen kriminelle Hacker eigentlich mit geknackten Amazon Web Services oder Microsoft 365 Accounts? Denn neben dem reinen Accountdiebstahl ist es genau das, wonach sie suchen: Plausibilität. Wie verpacke ich eine Information so, dass sie vom Empfänger als möglichst authentisch empfunden wird? Sowohl als Mensch als auch als Maschine! Dazu braucht man noch einen gültigen Account, um überhaupt Mails verschicken zu können. Und es muss schnell gehen, damit die ersten abgefischt werden, bevor die Alarmglocken läuten.

Diese Nachricht ist durchgekommen, weil "mein" Server den Absender für plausibel hielt. Aber warum?

  1. Diese E-Mail wurde von einem vertrauenswürdigen Server von Amazon Web Services zugestellt, war TLS 1.2 verschlüssselt.

  2. Hinzu kommt, dass diese Domain ganz normal ist und offenbar auf AWS-Diensten basiert. Längst werden beliebige reale Adressen verwendet, die aus kompromittierten Daten der Vergangenheit gewonnen wurden. Dazu passt sogar der DMARC / SPF der versendeten Domain ilmversity, was eine besondere Vertrauenswürdigkeit vortäuscht.

  3. Zum Zeitpunkt des Empfangs war der einliefernde Server zwar auf einer Blacklist, aber nur auf wenigen Blacklistdiensten, was Microsoft anscheinend nicht ausreichte. Es ist leider immer das ewige Katz- und Mausspiel zwischen Angriff und Abwehr. Ist die Abwehr zu streng oder zu lasch, beschweren sich die Kunden über zu viel oder zu wenig Spam. Nun ja.

  4. Der Inhalt solcher E-Mails ist derselbe wie der anderer gültiger E-Mails.

Am Ende zählt das eigene Bauchgefühl und es ist elementar wichtig, dass jeder auf die drei oben genannten Dinge achtet.

  • Ist der Absender in Ordnung?
  • Wohin führt der Link?
  • Wie ist der Inhalt zu bewerten? Achte auf Sprache, Rechtschreibfehler und Formulierungen!
Vorheriger Beitrag Nächster Beitrag