Spam-Lieferservice: Gefahr garantiert

Inhalt

    Bekannte Unternehmen und Marken sind beliebte Ziele Krimineller. Denn es ist viel einfacher, die Aufmerksamkeit der Nutzer auf Mails zu lenken, die angeblich von populären Firmen und Unternehmen mit Wiedererkennungswert stammen. Dadurch ist die Chance höher, dass der Nutzer den Betrügern zum Opfer fällt.

    Im vorliegenden Artikel beschäftigen wir uns detailliert mit Phishing- und Schadmails, die von Cyberkriminellen im Namen internationaler Logistikunternehmen versendet werden. Die beliebtesten Ziele der Phisher sind das deutsche Unternehmen DHL, die amerikanischen Unternehmen FedEx und United Parcel Service (UPS) sowie die holländische Firma TNT. Diese Unternehmen sind international tätig, unterhalten Filialen in den größten Ländern der Welt und haben Millionen von Kunden. Und da die aufgezählten Firmen ihre Dienstleistungen im selben Bereich anbieten, verwenden Spammerimmer wieder dieselben Methoden bei der Erstellung der betrügerischen Mails.

    Phisher verfolgen die folgenden Ziele:

    1. Diebstahl vertraulicher Anwenderdaten (Kreditkartendaten, Benutzernamen und Passwörter von Accounts). Dies geschiet in erster Linie mit Hilfe gefälschter Webseiten. Das Hauptmerkmal des Phishings besteht darin, dass der Nutzer selbst den Betrügern seine persönlichen Daten übermittelt. Dies geschiet indem er die entsprechenden Felder auf den gefälschten Seiten ausfüllt oder sie per Mail verschickt.
    2. Installation verschiedener Schadprogramme auf dem Computer des Anwenders. Nicht nur zur Verfolgung der Anwenderaktivität und dem Diebstahl unterschiedlicher persönlicher Informationen, sondern auch zur Organisation von Botnetzen für den Spam-Versand und zur Durchführung von DDoS-Attacken.

    Header der betrügerischen Mitteilungen

    Absenderzeile ‚From‘

    Die Adresse im Feld ‚From’ ist folgendermaßen aufgebaut <Name der Mailbox @Domain-Name des Servers >. Um den Empfänger in die Irre zu führen, können die Betrüger jedes beliebige Element verändern, d.h. sie können es auch der offiziellen Adresse des jeweiligen Zustellungsdienstes angleichen.

    In den betrügerischen Mitteilungen lassen sich mehrere Gruppen von E-Mail-Adressen unterscheiden:

    1. E-Mail-Adressen, die den legitimen allgemeinen Adressen der Unternehmen ähneln. Hier wird als Absendername meist direkt der Name des Unternehmens eingesetzt (DHL INC, TNT COURIER SERVICE, Fedex usw.). Als Mailbox-Bezeichnung werden häufig Wörter wie info, service, noreply, mail, support verwendet.. Beim Domainnamen werden reale oder der Realität sehr nahe kommende Servernamen eingesetzt.
    2. fraudshipment

    3. Adressen, die den legitimen Adressen des Unternehmens nicht ähnlich sind. In diesen Adressen werden als Absendernamen ebenfalls die Namen der Unternehmen selbst eingesetzt (FedEx, DHL Service, FedEx.com). Allerdings gehören die Domainnamen gewöhnlich zu verschiedenen kostenlosen E-Mail-Diensten oder zu völlig anderen Unternehmen. Als E-Mail-Adresse verwenden die Spammer unter anderem die Adressen realer Anwender (gehackte E-Mail-Adressen oder aus verschiedenen offenen Quellen gesammelte Adressen) oder automatisch generierte Adressen. Letztgenannte bestehen meist aus einer willkürlichen Folge von Buchstaben, Wörtern oder Zahlen.
    4. fraudshipment

    5. Adressen, die den E-Mail-Adressen von Mitarbeitern des Unternehmens ähneln. Als Absendername können solche Adressen Vor- und Familiennamen enthalten, sowie den Namen des Unternehmens oder die Bezeichnung der Tätigkeit (Courier, Manager usw.). In der Bezeichnung der Mailbox tauchen derselbe Vor- und Familienname wieder auf, da unterschiedliche Daten den Empfänger stutzig machen könnten. Als Domainname wird manchmal die echte Domain des Unternehmens verwendet. Es können aber auch andere Domains verwendet werden, die nicht mit dem Logistikunternehmen in Verbindung stehen.
    6. fraudshipment

    7. Adressen, in denen der Name des Absenders nicht auftaucht.
    8. fraudshipment

      Eins sollte man nicht vergessen: Damit im Absenderfeld eine reale Domain des Unternehmens erscheint, müssen die Betrüger keinesfalls unbedingt die Server des Unternehmens hacken.Es ist völlig ausreichend den gewünschten Domainnamen des Servers in das Feld ‚From’ einzutragen.

    Betreffzeile ‚Subject‘

    Der Betreff einer betrügerischen Mitteilung sollte das Interesse des Empfängers wecken und ihn dazu verleiten die Mail zu öffnen. Gleichzeitig muss sie auch glaubwürdig daherkommen. Daher verwenden die Spammer als Betreff allgemeine Phrasen, die für offizielle Schreiben von Kurierdiensten charakteristisch sind. Kunden, die ein Paket oder Dokumente verschickt haben, sind selbstverständlich an der erfolgreichen Zustellung interessiert und versuchen nicht nur aktiv die Sendung nachzuverfolgen, sondern lesen auch alle Informationsschreiben der Lieferunternehmen.

    Zu den beliebtesten Betreff-Themen gehören:

    1. Betreffe, die mit der Zustellung/Versendung von Sendungen zusammenhängen (Benachrichtigungen über den Versand, Lieferstatus, Versandbestätigung, Versanddokumente, Informationen über die Zustellung usw.).
    2. Beispiele:

      fraudshipment

    3. Betreffe, die mit der Nachverfolgung von Sendungen zu tun haben, Informationen über eine Bestellung und die Rechnung (Sendungsnummer, Verfolgen der Sendung usw.)
    4. Beispiele:

      fraudshipment

    5. Betreffe, die mit den Benachrichtigungen über Mitteilungen und Accounts zusammenhängen (Erstellung und Bestätigung eines Accounts, Erhalt neuer Mitteilungen usw.)
    6. fraudshipment

    Gestaltung der Mail

    Ihr Hauptaugenmerk richten die Betrüger auf die Gestaltung der E-Mail. Ihr Hauptziel besteht darin, den Empfänger von der Echtheit des Schreibens zu überzeugen. Denn wenn es einen verdächtigen Eindruck macht, so wird das potentielle Opfer es höchstwahrscheinlich einfach löschen, auch wenn der Betreff seine Aufmerksamkeit auf sich gezogen hat und die Absenderadresse echt erscheint. Wir führen im Folgenden die wichtigsten Methoden auf, die Betrüger verwenden, um ihren E-Mails einen legitimen Anstrich zu verpassen.

    Grafische Gestaltung

    Große Unternehmen, die erfolgreich am internationalen Markt tätig sind, haben ihren eigenen Unternehmensstil, der ein in Worten ausgedrücktes Warenzeichen, ein grafisches Warenzeichen, die Markenschrift, den Slogan, das Farbenspektrum der offiziellen Website, der Newsletter und der Werbeclips sowie andere Komponenten beinhaltet. Einige der aufgeführten Elemente werden von Cyberkriminellen in der Gestaltung der betrügerischen Mails verwendet, um die Empfänger neugierig zu machen und dem Schreiben einen authentischen Anstrich zu verleihen. Phisher verwenden zumeist das Firmenlogo, da dieses Element für jede beliebige Firma einmalig ist, es ist das Erkennungsmerkmal und unterscheidet ein Unternehmen von allen anderen.

    Beispiele für die Verwendung des DHL-Logos in Betrügermails.

    fraudshipment

    Kommen wir zur Analyse der hier dargestellten Beispiele: Man sieht sofort, dass sich das Logo im zweiten Beispiel stark von dem offiziellen Logo des Unternehmens unterscheidet. Ein anderer Hinweis darauf, dass es sich um eine Fälschung handelt, liegt in der Größe des Logos, die im 4. Beispiel stark von der Größe des Originals abweicht, wo das Logo fast ein Drittel des gesamten Mailkörpers ausmacht. Höchstwahrscheinlich soll das überdimensioniert Logo in diesem Beispiel die Aufmerksamkeit des Empfängers erregen, und ihn von dem Text des Schreibens ablenken. Aus demselben Grund haben die Betrüger auch den Phishing-Link in größerer Schrift dargestellt – der Anwender soll möglichst gleich darauf klicken, ohne den vergleichsweise klein gedruckten Text der Mail zu lesen.

    Im ersten Beispiel haben die Phisher versucht, die Aufmachung der offiziellen Website zu imitieren (ein äußerst populärer Ansatz), allerdings haben sie das Logo rechts platziert und beim Hintergrund verschiedene Farbnuancen verwendet. Das Logo aus dem dritten Beispiel kommt dem Original-Logo von DHL am nächsten, die Betrüger haben sich bemüht, die Gestaltung und Größe genau einzuhalten. Man muss allerdings sagen, dass es nicht schwierig ist, ein Logo für eine gefälschte Benachrichtigung anzufertigen: Im Internet findet man in der Regel Originaldarstellungen in verschiedenen grafischen Formaten, unter anderem auch in Formaten für Vektorgrafik. Neben dem Logo verwenden Betrüger auch das von dem jeweiligen Unternehmen auf der offiziellen Website und in Newslettern benutzte Farbspektrum. Im Fall von DHL ist das eine Verbindung von gelb und rot.

    Textgestaltung

    Im Text der meisten offiziellen Schreiben finden sich Standardphrasen, erst recht in Einheitsbenachrichtigungen, die automatisch generiert und versendet werden. Zudem gibt es in solchen Briefen häufig Kontaktdaten und Links auf die offiziellen Ressourcen des versendenden Unternehmens. Um ein gefälschtes Schreiben also einer echten Benachrichtigung eines Logistikdienstleisters anzugleichen, setzen Betrüger die folgenden Elemente ein:

    1. Einheitsphrasen, die für offizielle Versendungen charakteristisch sind: Please do not reply to this email, This is automatically generated email, please do not reply, All rights reserved, Diese Versendung ist automatisch, Bitte beantworten Sie diese nicht, This communication contains proprietary information and may be confidential. Questo e’ un email automatico, Si prega di non rispondere usw.
    2. fraudshipment

    3. Links auf die offiziellen Seiten des Unternehmens. Nicht alle Links, die in einer gefälschten Mail erscheinen, führen auf Phishing-Seiten – die Betrüger verwenden durchaus auch echte Links, die auf offizielle Ressourcen führen, um ihrem Schreiben ein legitimes Äußeres zu verleihen und Spam-Filter auszutricksen.
    4. fraudshipment

    5. Kontaktdaten für Rückfragen. Betrüger geben nicht selten die Daten (Vor- und Nachname, Tätigkeit, Büroadresse) eines konkreten Mitarbeiters an, oder aber die allgemeinen Kontaktdaten des Unternehmens. Dabei können diese Kontaktdaten echt oder frei erfunden sein.
    6. fraudshipment

    Inhalt der Mail

    Für Betrüger, die gefälschte Mails versenden, ist es nicht nur wichtig, den Empfänger von der Echtheit des Schreibens zu überzeugen, sondern das potentielle Opfer auch dazu zu bringen, freiwillig die notwendigen Aktionen durchzuführen, beispielsweise seine persönlichen Daten zur Verfügung zu stellen oder eine schädliche Datei zu installieren. Zu diesem Zweck versuchen die Verbrecher mit Mitteln aus der psychologischen Trickkiste auf den Empfänger einzuwirken. In diesem Fall ist das wichtigste Werkzeug in den Händen der Phisher der Mailtext, und zwar in erster Linie der Inhalt.

    In betrügerischen Schreiben von Paket- und Lieferdiensten verwenden Cyberkriminelle am häufigsten die folgenden Ansätze:

    1. Benachrichtigungen über verschiedene Fehler und die Gründe ihres Auftretens (missglückte Zustellung, Fehlen von Informationen, falsche Adresse, Nichtanwesenheit des Empfängers bei Lieferadresse).
    2. Gewöhnlich hängen diese Phrasen mit der Zustellung von Sendungen zusammen, denn in eben dieser Branche sind die von uns untersuchten Unternehmen tätig. Daher ruft eine Benachrichtigung über einen Fehler bei der Lieferung von einem Logistikunternehmen bei dem Empfänger auch kein Misstrauen hervor, insbesondere, wenn in dem Schreiben begründet wird, warum die Sendung nicht zugestellt werden konnte oder andere Details genannt werden.

      fraudshipment

    3. Die Bitte, irgendetwas auszufüllen, mit dem Hinweis auf mögliche Konsequenzen, wenn der Bitte nicht nachgekommen wird. Beispiel: „Falls die Sendung innerhalb von 5 Tagen nicht zugestellt werden kann, wird sie an den Absender zurückgeschickt.“
    4. Solche Phrasen setzen die Betrüger ein, um den Empfänger dazu zu bringen, umgehend das zu tun, wozu er in dem Schreiben aufgefordert wird. In diesem Fall zählen die Phisher darauf, dass der Anwender – in der Angst, das Paket nicht zu erhalten – unter emotionalem Druck steht und selbst seine persönlichen Daten übermittelt oder eine schädliche Datei ausführt.

      fraudshipment

    5. Phrasen mit einem Hinweis darauf, was sich im Anhang bzw. unter dem Link verbirgt (Rechnung, weitere Informationen, Dokumente).
    6. Wenn der Nutzer nicht weiß, was sich unter dem Link oder in dem Anhang verbirgt, oder sich diesbezüglich nicht sicher ist, wird er kaum so agieren, wie die Verbrecher es sich wünschen. Daher geben die Betrüger gefälschte Seiten als Seiten der offiziellen Websites aus und den Schädling im Anhang als Unterlagen, die verschiedene Informationen über die Sendung enthalten. Wird im Text zudem behauptet, im Anhang befindet sich beispielsweise ein Lieferschein, so hat das schädliche Archiv auch eine korrespondierende Bezeichnung, wie z.B. „Lieferschein.zip“. Das Gleiche gilt für Phishing-Links – die Cyberkriminellen versehen sie mit zum Text passenden Begriffen, wie etwa „Sendungsinformationen“.

      Diese simple Methode wird von Spammern verwendet, damit beim Empfänger keine Zweifel darüber aufkommen, dass sich im Anhang bzw. unter dem Link tatsächlich das befindet, von dem im Mitteilungstext die Rede ist.

      fraudshipment

    7. Phrasen mit der Aufforderung, irgendwelche Aktionen durchzuführen (auf einen Link zu klicken, einen Anhang zu öffnen, eine Datei zu drucken usw.).
    8. Stellen wir uns einmal vor, dass es Betrügern trotz allem gelungen ist, den Empfänger von der Echtheit des Schreibens zu überzeugen. Nun muss das potentielle Opfer unbedingt darüber informiert werden, was es tun muss, um die in der Mail beschriebenen Probleme zu lösen. Denn das Ziel der Cyberkriminellen besteht gerade darin, dass das Opfer die im Mailkörper beschriebenen Aktionen durchführt. Um Missverständnisse seitens des Empfängers zu vermeiden, sind im Mailtext häufig konkrete Instruktionen bezüglich der vom Nutzer durchzuführenden Schritte zu finden.

      fraudshipment

    Mögliche Änderungen im Text

    Der Betrug des Anwenders ist nicht die einzige Aufgabe, die Cyberkriminelle zu erledigen haben. Zunächst einmal müssen sie die Spam-Filter umgehen und die Mails in die In-Boxen der potentiellen Opfer transportieren. Eine der beliebtesten und schon seit langem genutzten Methoden zur Umgehung der Spam-Filter ist die Änderung von Textfragmenten in der Mail. In modernen Programmen zum Versand von Spam-Mitteilungen steht ein breites Spektrum von Möglichkeiten zur Generierung von vielfältigen Veränderungsvarianten im Text zur Verfügung. Ein sich von Mail zu Mail verändernder Text macht eine Mitteilung einzigartig und die in den Mails einer Versendung verwendeten persönlichen Informationen, beispielsweise die Sendungsnummer, die Anrede, das Datum tragen dazu bei, den Empfänger davon zu überzeugen, dass das Schreiben tatsächlich an ihn persönlich gerichtet ist. Darüber hinaus können Betrüger auch Mails versenden, die im Laufe mehrerer Monate nach ein und derselben Schablone gestaltet wurden. Zu diesem Zweck müssen sie nur einige Elemente im Text verändern.

    In den gefälschten Benachrichtigungen von Zustellungsunternehmen können sich die folgenden Komponenten verändern:

    1. Informationen über die Bestellung /Sendung. Dazu zählen im Wesentlichen die Sendungsnummer, die Verfolgungsnummer der Sendung, die Zustellungsfrist der Sendung usw.
    2. Kontaktdaten und Namen der Absender, Name der Unternehmen. In einigen Versendungen werden auch Telefonnummern und E-Mailadressen angegeben, damit die Empfänger mit Vertretern der Unternehmen in Kontakt treten können, die die Nachricht angeblich verschickt haben. Und gerade diese Daten sind von Mail zu Mail unterschiedlich. Überdies können sich auch die Namen der Mitarbeiter des Unternehmens und sogar die Namen der Unternehmen selbst ändern.
    3. Bezeichnung des Anhangs. Im Wesentlichen gilt das für schädliche Anhänge, deren Namen innerhalb einer Versendung variieren können. Allerdings verbirgt sich hinter den verschiedenen Bezeichnungen immer ein und dasselbe Schadprogramm.
    4. Links. In Phishing-Mails und Mails mit schädlichen Links verändern die Spammer häufig die Link-Adressen und tarnen sie unter anderem mit Hilfe verschiedener Kurzlink-Dienste. Meistens werden solche Links von modernen Antiviren-Programmen schnell blockiert.
    5. Phrasen mit Verweisen auf die quantitativen Merkmale und Datumsangaben. Zu den quantitativen Merkmalen gehören die Dauer (Tage, Stunden), Höhe der Geldsumme und Datumsangaben (Tag und Monat).
    6. Anrede. Als Anrede verwenden die Spammer im Mailkörper normalerweise die Adresse der Mailbox und/oder den Vornamen des Empfängers. Manchmal werden auch allgemeine Anreden verwendet (Kunde usw.).
    7. Andere Textfragmente. Einige Wörter können durch Synonyme ersetzt werden oder durch Wörter mit ähnlicher Bedeutung, wobei sich die Semantik des Wortes nicht ändert. So kann man zum Beispiel das Wort ‚package’ durch das Wort ‚parcel’ ersetzen, und ‘enclosed’ durch ‚attached’.

    Schauen wir uns einmal am Beispiel verschiedener Versendungen die unterschiedlichen Varianten von Textänderungen in betrügerischen Mails an.

    fraudshipment

    Andere Mitteilungsvarianten innerhalb einer Versendung:

    fraudshipment

    Gefälschte Seiten

    Um persönliche Anwenderdaten zu stehlen, erstellen Cyberkriminelle Phishing-HTML-Seiten, deren Äußeres teilweise oder komplett die offizielle Site des jeweiligen Unternehmens kopiert. Gibt das Opfer der Betrüger auf einer solchen Seite persönliche Daten ein (Bankverbindung, Anmeldedaten, Passwörter), so fallen diese umgehend den Verbrechern in die Hände.

    Um die Links zu tarnen, die auf die Phishing-Seiten führen, verwenden die Betrüger häufig populäre kostenlose Kurz-URL-Dienste. Darüber hinaus bieten die meisten Dienste ihren Kunden die Möglichkeit, Statistiken zu den platzierten Kurzlinks einzusehen, wodurch Betrüger zusätzliche Informationen erhalten, beispielsweise zur Zahl der Übertritte über diesen Link etc. Phishing-Seiten können auf eigens registrierten Domains platziert sein, die meist nur eine kurze Lebensdauer haben, oder auch auf gehackten Domains, deren Besitzer unter Umständen keine Ahnung davon haben, dass ihre Website zu kriminellen Zwecken missbraucht wird.

    Werfen wir einmal einen Blick auf eine gefälschte Mail im Namen des Unternehmens FedEx, in dem der Empfänger gebeten wird, seine Account-Informationen auf der Website zu aktualisieren. Im Mail-Text sieht der Empfänger einen Link auf eine Seite der offiziellen FedEx-Website. Doch die tatsächliche Adresse, auf die der Anwender umgeleitet wird, ist der legitimen Adresse überhaupt nicht ähnlich und wurde auf einem kostenlosen Kurzlink-Dienst platziert – was deutlich wird, wenn man den Cursor über den Link führt.

    fraudshipment

    Mit einem Klick auf den Link landet der Nutzer auf einer betrügerischen Seite, die die offizielle FedEx-Website imitiert, und wo er nun unbedingt die Anmeldedaten inklusive Passwort für den Account eingeben soll. Sobald der User die Felder ausgefüllt und auf die Schaltfläche „Login“ geklickt hat, werden die eingegebenen Informationen an die Cyberkriminellen weitergeleitet, die sich nun Zugriff auf den persönlichen Account des Opfers verschaffen können. Allerdings sind manche Menüpunkte und Links auf Phishing-Seiten häufig nicht aktiv, d.h. bei einem Klick auf einen angeblichen Link wird der Nutzer nicht auf die gewünschte Seite umgeleitet. In einigen Fällen fälschen die Phisher aber alle Links auf einer Seite, damit beim User keine Zweifel an der Legitimität der Seite aufkommen. Häufig ist die Aufmachung der Seite einer offiziellen Seite lediglich ähnlich und kopiert diese nicht vollständig. Wirft man einen Blick auf die Details, so stellt man verschiedene Unterschiede in der Gestaltung der echten und der gefälschten Seiten fest. Allerdings schenkt der Anwender solch feinen Unterschieden zumeist keine Beachtung, und Betrüger nutzen diesen Umstand aus, um ihrem Opfer persönliche Informationen zu stehlen.

    fraudshipment

    Schauen wir uns eine weitere Mail an, die im Namen der Firma FedEx verschickt wurde – dieses Mal versehen mit einem schädlichen Link. In dem Schreiben wird mitgeteilt, dass aufgrund fehlender wichtiger Informationen eine Sendung nicht zugestellt werden konnte. Um seine Identität zu bestätigen, müsse der Empfänger nun auf den entsprechenden Link klicken.

    fraudshipment

    Der Link führt auf eine betrügerische Seite, auf der das potentielle Opfer zum Download eines Programms aufgefordert wird, das angeblich überprüft, ob der Anwender auch tatsächlich der Empfänger der Sendung ist. Hinter diesem Programm verbirgt sich selbstverständlich ein Schädling, und zwar das bekannte trojanische Programm Zeus, mit dessen Hilfe Betrüger sich nicht nur Zugriff auf den Computer des Opfers, sondern auf seine sämtlichen persönlichen Informationen verschaffen können.

    fraudshipment

    Online-Gangster haben aber nicht nur die Möglichkeit, einen Phishing-Link im Mail-Körper zu platzieren, sondern sie hängen manchmal auch einen Anhang im HTML-Format an die Mail, bei dem es sich dann ebenfalls um eine Phishing-Seite für den Diebstahl von persönlichen Anwender-Informationen handelt. Für betrügerische Versendungen im Namen von Logistik-Unternehmen sind HTML-Anhänge als Phishing-Seiten nicht charakteristisch.

    Betrügerische Schreiben in verschiedenen Sprachen

    Um den Empfängerkreis zu vergrößern, eignen sich auch die Auftraggeber der Spammer immer neue Sprachen an. Neben der traditionellen englischen und deutschen Sprache trifft man im Spam-Traffic heute auch auf Mitteilungen in hebräischer, albanischer und in anderen Sprachen, die noch vor wenigen Jahren nicht in Werbe- und Betrugsmails anzutreffen waren. So finden sich unter den gefälschten Benachrichtigungen von internationalen Lieferdiensten auch beispielsweise Mitteilungen in italienischer oder holländischer Sprache. Diese Schreiben unterscheiden sich in keiner Weise von den Mails, die auf Englisch oder Deutsch verfasst wurden – um die Anwender hinters Licht zu führen, bedienen sich die Cyberkriminellen der immer gleichen Tricks.

    In einer gefakten Benachrichtigung über eine Lieferung durch die Firma FedEx in italienischer Sprache wurde der Anwender aufgefordert, seine Identität durch einen Klick auf einen betrügerischen Link zu bestätigen.

    fraudshipment

    Eine Mail aus einer wieder anderen Versendung in italienischer Sprache enthielt ein schädliches Archiv, in dem sich das trojanische Programm Zeus/Zbot befand, das für den Diebstahl von persönlichen Daten verwendet wird. In dem betrügerischen Schreiben wurde mitgeteilt, dass das Profil des Empfängers auf der Website des Unternehmens aktualisiert wurde und sich weitere Details darüber im Archiv befänden.

    fraudshipment

    In einem anderen gefälschten Schreiben, das in holländischer Sprache im Namen des Unternehmens TNT verfasst worden war, hieß es, dass eine neue Rechnung erstellt worden sei und sich das Original im Anhang befände. Im angehängten Archiv lauerte allerding die schädliche Datei Backdoor.Win32.Andromeda, deren Installation es Cyberkriminellen ermöglicht, den befallenen Computer für den Anwender unbemerkt zu steuern.

    fraudshipment

    Schädlinge in betrügerischen Mails

    Spam ist eine der beliebtesten Methoden zur Verbreitung von Schadprogrammen und zur Infektion von Anwendercomputern im Internet. Cyberkriminelle setzen die unterschiedlichsten Tricks ein, um ihre Opfer dazu zu bringen, Malware auf ihren Computern zu installieren. Im E-Mail-Traffic finden sich verschiedene private Mails, wie etwa Hochzeitseinladungen, Kontakt- und Freundschaftsanfragen und andere Mitteilungen dieser Art. Allergrößter Beliebtheit unter Cyberkriminellen erfreuen sich jedoch gefälschte Benachrichtigungen von bekannten Unternehmen und Marken, die Dienstleistungen in verschiedenen Bereichen anbieten. Die Namen internationaler Logistikunternehmen werden von Spammern ebenfalls ausgenutzt, um schädliches Spam in Umlauf zu bringen.

    Die Schadprogramme, die in gefälschten Mitteilungen von Lieferdiensten verschickt werden, lassen sich folgendermaßen unterteilen:

    1. Trojanische Programme werden entwickelt, um vom Anwender nicht sanktionierte Aktionen durchzuführen, die auf die Zerstörung, Blockierung, Modifizierung oder das Kopieren von Informationen sowie auf die Funktionsbeeinträchtigung von Computern oder von Computernetzen ausgerichtet sind. Zu den via Spam verbreiteten trojanischen Programmen gehören Backdoor, Trojan-Downloader, Trojan-Proxy, Trojan-PSW, Trojan-Spy, Trojan-Banker und andere.
    2. Würmer sind Schadprogramme, die sich ohne Zustimmung des Anwenders in den Computern oder den Computernetzwerken selbst vervielfältigen können. Die so erhaltenen Kopien verfügen dabei ebenfalls über diese Fähigkeit.

    Die folgenden Möglichkeiten machen Schadprogramme so gefährlich:

    1. Der Diebstahl von Anmeldedaten und Passwörtern zu Accounts aller Art sowie von Finanz- oder anderen Informationen, die die Online-Gangster benötigen.
    2. Die Organisation von Botnetzen zum Versand von Spam, zur Durchführung von DDoS-Attacken und zu anderen kriminellen Zwecken.
    3. Cyberkriminelle können die Kontrolle über einen Computer erlangen und damit unter anderem auch die Möglichkeit erhalten, beliebige Dateien und Programme auszuführen, zu löschen und zu installieren.

    Moderne Schadprogramme verfügen über eine ausreichend umfassende Funktionalität, die den Ansprüchen der Cyberkriminellen gerecht werden. Zudem können einige Schädlinge auch andere Schadsoftware laden, die über zusätzliche Möglichkeiten verfügen – vom Diebstahl der in den Browser eingegebenen Anmeldedaten und Passwörter bis zur entfernten Kontrolle des Computers.

    In betrügerischen Benachrichtigungen können schädliche Objekte direkt in die Mail eingebaut oder über einen in der Mitteilung enthaltenen Link geladen werden. Die Gefahr besteht darin, dassš Schädlinge ohne Wissen und ohne Interaktion des Users installiert und ausgeführt werden können. Normalerweise sind die an Betrugsmails angehängten schädlichen Dateien in ZIP-Archiven – seltenen in RAR-Archiven – verpackt und haben die ausführbare Erweiterung .exe.

    Erkennungsmerkmale betrügerischer Mitteilungen

    Es folgt eine Auflistung von Merkmalen, die auf eine betrügerische Nachricht hinweisen könnten.

    1. Absenderadresse der Mail. Enthält die E-Mail-Adresse sinnlose Buchstaben-, Wort- oder Zahlenfolgen, fremdartige Domains, die nichts mit den offiziellen Adressen des Unternehmens zu tun haben, so kann man solche Mails als betrügerisch ansehen und ohne zu öffnen löschen – selbst, wenn nur eins dieser Merkmale zutrifft.
    2. Grammatikalische und orthografische Fehler. Fehlerhafte Satzstellung und Zeichensetzung, Fehler in der Grammatik und Rechtschreibung können ebenfalls Merkmale für eine betrügerische Versendung sein.
    3. Grafische Aufmachung. Online-Betrüger versuchen, ihre Mails weitestgehend den echten Schreiben der jeweiligen Firma anzupassen. Sie berücksichtigen dabei den allgemeinen Stil des Unternehmens, wobei einige Elemente übernommen werden, wie etwa das Farbschema und das Logo. Ungenauigkeiten und auffallende Fehler in der Gestaltung sind ein Hinweis darauf, dass es sich bei dem Schreiben um eine Fälschung handelt.
    4. Inhalt der Mail. Wenn der Empfänger im Text der Mail unter verschiedenen Vorwänden gebeten wird, irgendwelche persönlichen Informationen zur Verfügung zu stellen oder zu bestätigen, eine Datei herunterzuladen oder auf einen Link zu klicken und dabei zur Eile getrieben wird bzw. ihm mit irgendwelchen Konsequenzen gedroht wird, sollte er den in der Mitteilung beschriebenen Anweisungen nicht Folge leisten, so sind das alles Merkmale für eine betrügerische Mail.
    5. Links mit unterschiedlichen Adressen. Wenn die Adresse des im Mailkörper angegebenen Links nicht mit der Adresse des Links übereinstimmt, auf die tatsächlich umgeleitet wird, so haben Sie es mit Sicherheit mit einem gefälschten Schreiben zu tun. Wenn Sie Ihre Mails im Browser lesen, so wird der tatsächliche Link normalerweise links unten im Browserfenster angezeigt. Wenn Sie einen E-Mail-Client verwenden, wird der tatsächliche Link möglicherweise in einem kleinen Fenster angezeigt, wenn Sie den Cursor auf den Link im Text führen. Allerdings kann ein Link auch an ein Textstück in der Mail gekoppelt sein.
    6. Angehängte Archive. Üblicherweise verstecken Cyberkriminelle in ZIP- und RAR-Archiven ausführbare schädliche Dateien im Format .EXE. Aus diesem Grunde sollte man solche Archive niemals öffnen und schon gar nicht die darin enthaltenen Dateien ausführen.
    7. Fehlen von Kontaktdaten. In legitimer Korrespondenz werden stets Kontaktdaten angegeben – entweder allgemeine Firmendaten oder die Kontaktdaten des Mitarbeiters, von dem die jeweilige Mail stammt.
    8. Fehlen der Anrede. Als Anrede wird nicht unbedingt der Vor- und Nachname des Empfängers verwendet, sondern häufig einfach allgemeine Ausdrücke (z.B. ‚Sehr geehrter Kunde‘ usw.).

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.