Gestern Abend verschickten wir eine E-Mail an alle Benutzer, um auf den Hotfix in phpBB 2.0.16 aufmerksam zu machen, vor allem, weil das [ISC in einer Mitteilung vor verstärkten Crackversuchen durch Botnetze warnte][1]. In dieser kurzen Mail verlinkten wir die Update-Ankündigung auf phpBB.de.
Einige Empfänger unserer E-Mail — allesamt registrierte Benutzer von phpBB.de — [vermuteten jedoch hinter der Mail und dem Link eine Phishing-Falle][2]. Zum einen wegen der Angabe des Links, zum anderen wegen dem knappen Stil der Mail und dem [Druck][3], der durch die Formulierung “schnell updaten” entstanden sei.
Natürlich war die Mail *echt* und keine Falle.
Für einen Laien ist eine Phishing-Mail nicht von einer normalen, echten Mail zu unterscheiden. Ein Text, der meist auf ein Sicherheitsproblem oder ähnliches hinweist sowie ein Link, dem zu folgen man aufgefordert wird. Wie kann man unterscheiden, ob eine Mail nun echt ist oder nicht?
Phishing erfordert es, einen Link zu fälschen. Dabei wird das Ziel des Links manipuliert, so dass nicht die erwartete Seite lädt, sondern eine vom Phisher gefälschte, die der erwarteten so ähnlich wie möglich sieht. Es ist jedoch nur in HTML-Mails möglich, einen Link so zu manipulieren. In reinen Text-Mails, wie wir sie verschicken, funktioniert das nicht. Außerdem muss der Phisher den Link so aufrufen, dass der Browser die Adresszeile nicht anzeigt — denn dort würde die gefälschte Adresse stehen.
Leider werden solche Fakten in der Berichterstattung über Phishing immer wieder unterschlagen. Stattdessen wird allgemein von *E-Mails* gesprochen, so dass bei technisch unbedarfteren Benutzern der Eindruck entstehen muss, jede Mail sei eine potentielle Gefahr.
Um sich vor Phishing-Mails zu schützen, sollte man sein E-Mailprogramm so zu konfigurieren, dass es E-Mails im Format *Nur-Text* darstellt. Jetzt ist eine Fälschung des Links nicht mehr möglich. Vor unscheinbar aussehenden Links ist man jedoch auch so nicht gefeit. Erst ein zweiter, und manchmal dritter Blick offenbart, das die Adresse www.dein-postbank-konto.de nicht der Postbank gehört und man hier tunlichst keine persönlichen Daten eingeben sollte. Mit einer Portion gesundem Menschenverstandes sollte man jedoch auch solche Fallen umschiffen können — im Zweifel sollte man immer die [bekannten Adressen benutzen][4], zum Beispiel die aus den eigenen Favoriten bzw. Bookmarks.
Für Versender von Massenmailings stellt sich die Frage was man tun kann, um den Eindruck von Phishing zu vermeiden. Reine Textmails sind ein Anfang — neben anderen Vorteilen, die dieses Format hat. Leider erschöpfen sich hier bereits die Möglichkeiten. Formuliert man knapp und [erzeugt so Druck (“schnell updaten”)][3], wird dies negativ aufgefasst. Lässt man sich und dem Leser mehr Zeit und wird ausführlicher, kann auch dies als Indiz für eine mögliche Phishing-Falle angesehen werden. Geht man in die Offensive und macht auf die Echtheit dieser Mail aufmerksam, wirkt dies erst recht alarmierend auf den Leser: “Dies ist keine Phishing-Mail”. Wer bis jetzt nicht an diese Möglichkeit dachte, tut es jetzt auf jeden Fall.
Es zeigt sich also einmal mehr, wie schnell ein Medium durch den Missbrauch einiger weniger generell als gefährlich eingestuft wird.
[1]: http://isc.sans.org/diary.php?date=2005-07-03
[2]: http://www.phpbb.de/viewtopic.php?t=91731
[3]: http://www.phpbb.de/viewtopic.php?t=91731#518971
[4]: http://www.phpbb.de/viewtopic.php?t=91731#518980
Phishing funktioniert nicht nur mit dem aufwendigen fälschen von URLs, man kann auch einfach welche benutzen, die dem Opfer Vertraulichkeit suggerieren. Welcher Postbankkunde weiß denn, ob sich der “neue” Banking-Login nicht vielleicht unter postbank.online-banking-for-you.de verbirgt. Wenn diese Seite dann wieder aussieht wie die dem Kunden bekannte Version, hat der Phisher auch schon gewonnen.
Sehr gut hat ja auch die Version mit den IDN oder Umlaut-Domains funktioniert. Auch hier war/ist keinerlei Aufwand zu betreiben, außer eine hübsche Domain zu registrieren.
Mit anderen Worten: Nur weil es sich um reine Text-Mails handelt, heißt das nicht, dass diese nicht gefälscht sind. Dein Tipp ist also nicht ganz ohne…
Jup, stimmt natürlich. Eine entsprechende Ergänzung steht im Text. Danke Gregor ;)
Sehr gut hat ja auch die Version mit den IDN oder Umlaut-Domains funktioniert. Auch hier war/ist keinerlei Aufwand zu betreiben, außer eine hübsche Domain zu registrieren.