WEB.DE: Wie man seine Nutzer zu Phishing-Opfern erzieht
Was hat ein ><(((°> damit zu tun?
Phishing, angelehnt ans Englische „fishing“ für „Fischen, Angeln“, beschreibt allgemein Versuche mittels gefälschter Nachrichten ahnungslose Opfer zum Angeben sensibler Daten zu verführen: Zugangsdaten zu Bank- und E-Mail-Konten, Kreditkartendaten – der Rohstoff des Merkel’schen Neulands ist reichlich vorhanden und möchte ausgebeutet werden.
><(((°> im Treibnetz
Während es noch einfach ist einer E-Mail das offizielle Aussehen von beispielsweise Paypal, Amazon oder dem Zockerzirkel Ihres Misstrauens zu verpassen, so sind die oftmals ebenfalls eingestreuten Daten wie korrekter Name und korrekte E-Mail-Adresse schon schwieriger herauszufinden und ihr Fehlen oder ihre Falschangabe machen eine Fälschung leicht erkennbar. Absende- und Rückantwortadressen lassen sich problemlos fälschen, aber in der Regel lässt sich ein Phishingangriff für etwas versiertere Nutzer leicht am „Innenleben“ einer E-Mail erkennen. Beispielsweise erhielt ich vor einiger Zeit auf eine E-Mail-Adresse, die ich für einen bestimmten Anbieter angelegt und ausschließlich für diesen verwendet hatte, eine E-Mail, vorgeblich von Paypal:
Return-Path: <service@paypal.de> Received: from loft9065.serverprofi24.de (loft9065.serverprofi24.de [188.138.33.69]) by dd24532.kasserver.com (Postfix) with ESMTP id D0D2D6F0175E for <###########################>; Tue, 29 Mar 2016 02:59:47 +0200 (CEST) From: "service@paypal.de" <service@paypal.de> Organization: service@paypal.de
An der hervorgehobenen Zeile erkennt man, dass die Mail von einem Server kam, der nicht paypal.de ist.
Überphischung eindämmen
Nun versucht natürlich jeder Mailanbieter möglichst sichere Konten anzubieten und so versuchen WEB.DE & Co. seit einiger Zeit den Leuten E-Mail-Verschlüsselung mittels PGP/GPG schmackhaft zu machen, was über den Verschlüsselungsaspekt hinaus auch noch eine sehr starke Fälschungssicherheit mit sich bringen würde – aber das nutzen die entsprechenden Anbieter ja nicht einmal bei ihren eigenen Mails.
WEB.DE will mein Postfach löschen D:
Selbst wenn sie wichtigen Inhalt wie folgenden haben, gibt es keine PGP/GPG-Signatur:
Sehr geehrter Herr Koenig,
Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse ###ANONYM### bereits seit längerer Zeit nicht genutzt.
Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!
Weitere Nutzung bestätigen
Ihr
WEB.DE KundenmanagementPS: Sie haben Ihr Passwort zu Ihrem WEB.DE FreeMail-Postfach vergessen oder Fragen zum Postfach? Hier finden Sie alle wichtigen Informationen.
Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. Wenn Sie nicht Steven Koenig sind, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.
(Das ist aus der vereinfachten HTML-Darstellung von Thunderbird herauskopiert, einige Daten wurden anonymisiert und der Inhalt ist daher nur bedingt originalgetreu. Die entschärften Links entsprechen jedoch den Angaben. Hervorhebungen von mir.)
Riecht ><(((°>ig
Die Links gehen also auf Seiten unter der Domain „ui-portal.com“, nicht „web.de“, riecht also in höchstem Maße verdächtig nach einem Phishingversuch. Des Weiteren haben die Rechtschreibexperten bei WEB.DE (muss natürlich in Großbuchstaben stehen, weil das für die Markenbildung wichtig ist) es geschafft in den kurzen Text vier Fehler einzubauen, siehe Hervorhebungen. Auch wenn Markenfetischisten gern eine Schutzzone um ihr Logo haben wollen, so ist es schlicht ungrammatisch, wenn die Bindestriche fehlen; im Deutschen koppeln wir brav durch oder schreiben es direkt zusammen. Dabei heißt es doch ständig, dass man Phishingmails besonders daran erkennt, dass sie über schlechtes/fehlerhaftes Deutsch verfügen…
Dr. House auf Innereienjagd
Betrachten wir mal einige „Innereien“ der Mail:
Return-Path: <noreply_kundenmanagement@webde.de> Received: from mout-csbulk.1and1.com (mout-csbulk.1and1.com [212.227.126.227]) by dd24532.kasserver.com (Postfix) with ESMTPS id EE7656F00053 for <ANONYM>> Mon, 9 Jan 2017 19:27:39 +0100 (CET) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=produkt.web.de; s=isystem1; t=1483986459; bh=7q8YVurMDH32B26A4zlkjjjwEQLng0w1phZk0P/OK0c=; h=X-UI-Sender-Class:Date:To:From:Reply-to:Subject; b=xAfMA3DA5idKcjKSevNhnwciCled1g4vvBqLwMBD/oTpV1lvcjvjDl7ugQkndVpbM PhKZlSYbyZL5YSRhrXiH2lvMfQRyJyWNABDceleN+kK4DsC0hfoM2YcAzpmGKEt/wn huzOd4nPa9SoCiSLf77C+kj2UO5AbdpA8aBwCuQc= Received: from nlsender05.ui-portal.com ([172.20.15.145]) by mrs-csbulk.1and1.com (mrsbulk003) with ESMTPA (Nemesis) id 0MVeb0-1byHeW1qe7-00Z26r for <ANONYM>; Mon, 09 Jan 2017 19:27:39 +0100 From: "WEB.DE Kundenmanagement" <kundenmanagement@webde.de> Reply-to: noreply_kundenmanagement@webde.de
Eine gern genutzte Masche beim Phishing ist die Registrierung einer Domain, die der gefälschten sehr ähnlich sieht: beispielsweise sieht „webde.de“ dem bekannten „web.de“ sehr ähnlich. Die Angreifer bauen darauf, dass jemand nach einem langen Arbeitstag etwas Besseres zu tun hat als jeden kleinen Link aufs letzte Bit akribisch zu kontrollieren, um seine Mails nicht zu verlieren. So habe ich bereits auf die oben angesprochene E-Mail-Adresse angebliche Paypalmails bekommen, die mich auf „paypal-zahlung.de“ verwiesen haben. Nun kommen „webde.de“ und „1and1.com“ insgesamt je dreimal und „ui-portal.com“ kommt einmal vor. Wie soll ich da bitteschön nicht vermuten, dass das Phishing ist? Wie soll da ein Durchschnittsnutzer nicht vermuten, dass es Phishing ist?
Zwischendurch: Recherche
Nun, eine Googlesuche brachte einen relevanten Treffer: Echte oder gefakte Web.de Mail. Den Aussagen dort zufolge wäre also alles echt und es gibt sogar halbwegs belastbare Belege dafür.
DKIM-Signatur zur Rettung?
Eine der hervorgehobenen Stellen habe ich oben bewusst nicht erwähnt. Das ist die Zeile mit der DKIM-Signatur, in der von „produkt.web.de“ die Rede ist. Doch, was soll ich damit? Ein Blick in Wikipedia verrät nicht mehr als ich schon wusste: DKIM-Signaturen dienen der Bestätigung, dass die Mail von der korrekten Domain kommt, also praktisch eine Bestätigung, dass der versendende Server tatsächlich Mails verschicken darf, die so aussehen als gehörten sie zur Domain „produkt.web.de“. Also doch alles gut, weil es damit ja auf jeden Fall auch zur Domain web.de gehört? Dazu muss man die Signatur aber erst mal überprüfen.
m(
Leider lässt sich von Haus aus in Thunderbird nicht nachvollziehen, ob diese Signatur gültig ist. Mit dem Addon „DKIM Verifier“ lässt sich da aber Abhilfe schaffen, sodass im Kopfbereich der E-Mail folgendes angezeigt wird:
Valid (Signed by produkt.web.de) !
Sehr gut, WEB.DE, ihr verschickt Mails mit gültiger DKIM-Signatur, aber kriegt es nicht auf die Reihe eine passende Absenderadresse anzugeben.
Was bedeutet das für den arglosen Durchschnittsnutzer? Der wird von WEB.DE dazu erzogen wie blöde jeden Link anzuklicken, wenn ihm jemand schreibt, dass er das tun muss, um seinen Account zu behalten und es irgendwie nach WEB.DE aussieht – muss man sich ja nur einmal anmelden und dann kann man weiter Katzencontent auf Facebook liken. Schwupps, nicht aufgepasst und schon sind die Zugangsdaten des E-Mail-Kontos bei einer tatsächlichen Phishingseite eingegeben und Kriminelle können das Konto für ihre Zwecke missbrauchen. Wenn die das geschickt anstellen, kriegt der Durchschnittsnutzer das sogar nicht mal so schnell mit.
Bonuslevel: Nur-Text-Version der Mail
Wie oben beschrieben handelt es sich um die HTML-Version der Mail, doch WEB.DE schickt immerhin auch eine Nur-Text-Version mit:
------------------------------------------------------------------ Wichtige Information zu Ihrem WEB.DE FreeMail-Postfach – weitere Nutzung bestätigen ------------------------------------------------------------------ Postfachnutzung bestätigen Sehr geehrter Herr Koenig, Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse ###ANONYM### bereits seit längerer Zeit nicht genutzt. Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage! Weitere Nutzung bestätigen https://web.de/email/login-wb/ Ihr WEB.DE Kundenmanagement PS: Sie haben Ihr Passwort zu Ihrem WEB.DE FreeMail-Postfach vergessen oder Fragen zum Postfach? Hier finden Sie alle wichtigen Informationen. https://hilfe.web.de/ Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. Wenn Sie nicht Steven Koenig sind, setzen Sie sich bitte mit unserem Kundenservice in Verbindung. https://hilfe.web.de/
Die dämlichen Schreibfehler sind zwar immer noch drin, aber dafür gehen sämtliche Links ohne irgendwelche personalisierte Schnüffelscheiße direkt auf web.de. Ausgerechnet in der Nur-Text-Version, die in der Regel ja ohnehin überwiegend von erfahreneren Nutzern eingesetzt wird.