Akzeptieren

Diese Website verwendet Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden, dass Cookies gesetzt werden. Mehr erfahren

Du bist hier:  Seitenreport    Artikel

Heimtückisch und raffiniert: eBay Phishing E-Mail

06. March 2012
Matthias Gläßner
Schlagworte Tags: phishing, e-mailKommentare: 4

Phishing E-Mails können täuschend echt aussehen und sind für den unvorsichtigen Internetnutzer eine große Gefahr. Dieser Artikel zeigt am Beispiel einer heute eingegangenen eBay Phishing-Mail, welche Raffinessen verwendet werden, wo die Gefahren liegen und wie man einer vermeintlichen Fälschung auf die Schliche kommt.

Auf den ersten Blick wirkt alles täuschend echt - sogar der Absender scheint in Ordnung: secure@ebay.com

Täuschend echt

Die eBay Phishing-Mail sieht auf den ersten Blick täuschend echt aus und ist von echten eBay Mails kaum zu unterscheiden. Dies liegt insbesondere daran, dass der Absender vermeintlich echt ist (secure@ebay.com ), originale eBay-Grafiken sowie originale ebay Corporate Design verwendet werden und zu guter Letzt Betreffzeile und Text unverfänglich sind.

Casus Knacktus: Erste Ungereimtheiten

Bei generauem Hinsehen fallen einige Merkwürdigkeiten auf, die oftmals aber nur erfahrene Nutzer stutzig machen oder überhaupt auch nur von diesen bemerkt werden:

  1. Die E-Mail-Client wurde mit Microsoft Outlook Express 6.00 verschickt. eBay hingegen verwendet den JavaMail-Client, um Nachrichten zu verschicken. (HowTo: E-Mail-Client auslesen)
  2. Das Formular wurde direkt in die E-Mail eingebettet. Beim Online-Aufruf des Login-Formulares würde man durch das etwaig grüne Adressfeld (verifizierter Betreiber) sofort sehen, ob man beim echten eBay gelandet ist.
  3. Der E-Mail Quellcode beinhaltet einen via Base64 kodierten Bereich, in dem ein Formular einloggen.html eingebettet ist (erkennbar am "filename einloggen.html ...".

Base64 Verschlüsselung

Die für das Formular verwendeten HTML Anweisungen sind Base64 codiert, so dass man sie auf den ersten Blick nicht einsehen kann und lediglich Kauderwelsch zu lesen bekommt. Doch der Inhalt scheint höchst verdächtig zu sein:

Content-Type: application/octet-stream; 
name="einloggen.htm" 
Content-Transfer-Encoding: base64 
Content-Disposition: attachment; 	
filename="einloggen.htm"
77u/PCFET0NUWVBFIGh0bWwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMDEg
VHJhbnNpdGlvbmFsLy9FTiIgImh0dHA6Ly93d3cudzMub3JnL1RSL2h0 bWw0L2x
vb3NlLmR0ZCI+PGh0bWw+PGhlYWQ+PG1ldGEgaHR0cC1lcXVpdj0i ...
 

Entschlüsselung

Der Base64 codierte Bereich lässt sich natürlich auch wieder entschlüsseln (sonst könnte in der E-Mail überhaupt kein Formular angezeigt werden). Hierzu kann man z.B. einen Online Decoder verwenden. Am Schnellsten geht es z.B. mit dem Textencoder von floern.com. Als Ergebnis der Dekodierung erhalten wir den ursprünglichen HTML Code.

Entlarvt - die eigentliche Loginseite

Nach Durchsicht des nun offenliegenden HTML-Codes werden wir nun auch schnell fündig:

  1. <form name="SignInForm" id="SignInForm" method="post"
  2. action="http://www.ecc-electronics.com/test/de.php">

Wie wir sehen, führt das Loginformular nicht zu eBay, sondern zu ecc-electronics.com. Bei der E-Mail handelt es sich also um eine Fälschung.

Hauptgefahr: Raffinesse

Phishing E-Mails sind zuweilen sehr raffiniert aufgemacht. Dies ist eine der großen Gefahren dieser Mails, denn der ungeschulte Otto-Normal-Verbraucher kann auf Anhieb nicht immer erkennen, ob es sich um eine echte E-Mail handelt oder um eine gefährliche Fälschung. In der eBay Phishing-Mail wurden z.B. folgende heimtückische Methoden verwendet, die auch geschulte Anwender hinters Licht führen können:

  1. Vermeintlich echter Absender: secure@ebay.com
  2. nahezu keine groben Schnitzer im Sprachgebrauch
  3. vermeintlich plausible Erklärung, warum die Logindaten abgefragt werden
  4. Verwendung des eBay Designs (eBay Logo, Footer-Texte, echte Links auf die eBay-Hilfe etc.)
  5. vermeintliche Bestätigung der Echtheit: "eBay hat diese Mitteilung gesendet."
  6. HTML Quellcode des Formulars als Base64 Codierung versteckt

Schutz vor Phishing

Der beste Schutz vor Phishing ist ein gutes Fachwissen im Computerbereich. Zudem gibt es einige Tipps, die einen guten Schutz vor Phishing bieten:

  1. HTML Darstellung und Bilder in E-Mails deaktivieren (nur anzeigen, wenn dies explizit erlaubt wird
  2. Vorsicht bei Formularen in E-Mails
  3. Niemals Links in verdächtigen E-Mails anklicken, es sei denn man weiß, was man tut
  4. Spamschutz aktivieren (filtert viele der Phishing-Mails bereits aus)
  5. Fachwissen aneignen - z.B. auf den Seiten des BSI oder Norton

Fazit

Phishing-Versuche werden immer raffinierter und sind für den Normalanwender immer schwieriger zu erkennen. Damit steigt vor allem die Gefahr, dass mit geklauten Benutzerdaten Straftaten begangen werden, bei denen der Account-Inhaber erst einmal nachweisen muss, dass er sie selbst gar nicht begangen hat. Besondere Vorsicht ist daher auch bei vermeintlich echten E-Mails geboten. Logindaten (vor allem Passwörter) werden niemals per E-Mail abgefragt.

  •  
  • 4 Kommentar(e)
  •  
Gorden W.
Gorden W.
08. March 2012

Das ist bei mir vor ein paar Tagen auch vorgekommen, dass ich erstmal 1-2 Minuten gucken musste um sicher zu sein, dass es NICHT echt war. Es handelte sich dabei um paypal-phishing-versuch. es ist klar, dass keine PWs abgefragt werden per mail, aber im "affekt" wird die masche wohl viele opfer finden, leider. vg

Andreas
Andreas
12. March 2012

Na ja, keine groben Schnitzer im Sprachgebrauch ...In dem Text ist doch so ziemlich alles "verschnitzt" :-)

Marko
Marko
16. March 2012

So tief muss man doch gar nicht graben (für viele Internet-Laien auch schwer nachvollziehbar). Wie in der falschen E-Mail korrekterweise steht, sind die direkte Ansprache mit Vor- und Nachname ein Indiz für die Echtheit. "Sehr geehrter Mitglied eBay" macht hier doch auf den ersten Blick stutzig.Weiterhin kommen alle deutschsprachigen Emails von Ebay auch mit der entsprechenden Länderdomain daher (.de, .at, .ch). Zudem kann man bei Unternehmen dieser Größe davon ausgehen, dass hoch professionelle und redundante Backup-Strategien dafür sorgen, dass jetzt und in Zukunft keine echten e-mails dieser Art von Ebay und Co. kommen werden.Das als ergänzender Hinweis für technisch weniger versierte Internet-Nutzer.

El Bandi
El Bandi
16. March 2012

Das dass spam war, war auf den ersten Blick klar.Gelacht habe ich erst über "Ihr Name in der Mitteilung ist ein Hinweis, das die email echt ist" und dann nur "Sehr geehrtes Mitglied autoscout24"Ich dachte schon, es gibt ev. eine Möglichkeit in der mail Platzhalter zu verwenden, die dann von bestimmten email-clienten durch den echten Namen ersetzt werden, aber es ist doch nur ein eher primitiver Versuch paypal-Daten abzufischen.Aber vielleicht kann sowas ja noch kommen.PS: ich bin weder bei autoscout, noch bei paypal angemeldet.

Kommentar hinterlassen

Zurück

Mehrfach empfohlen

Seitenreport ist einer der bekanntesten SEO und Website Analyse Dienste im deutschsprachigen Raum und wurde u.a. schon empfohlen:
von Mr. Wong im Wong Letter
vom Leserservice der Deutschen Post
vom Technik Blog SiN
und vielen anderen

Seitenreport API

Verfolge die SERP Positionen Deiner Keywords und erhalte Informationen über verwendete Mikroformate, frage die Ergebnisse unserer Analysen live ab oder greife auf unsere History-Datenbank zu. Dies alles bietet Dir die neue Seitenreport API. Kontaktiere uns, um weitere Infos zu erhalten.