6 Lehren, die ich aus einer Phishing Mail gezogen habe

Ich bin diese Woche fast einer phishing Attacke erlegen. 🙁

Die Nachricht kam von Amazon.de. Diese Absendeadresse ist in meinem Outlook als „sicher“ markiert und somit werden automatisch die Bilder heruntergeladen, die sich in dieser Mail befinden. Diese Einstellung werde ich dann mal wieder rückgängig machen – hier könnte Outlook eigentlich noch schlauer agieren, doch dazu später mehr.

Amazon.de - in meiner Liste der sicheren Absender
Amazon.de – in meiner Liste der sicheren Absender

Wenn wir uns die Mail ansehen, wirkt sie schon sehr authentisch. Vieles überliest man und ich habe die Betreffzeile wahrgenommen und mein Blick haftete an dem fett geschriebenen Bereich.

Eine Drohung... Das hat mich erst aufmerksam gemacht.
Eine Drohung… Das hat mich erst aufmerksam gemacht.

Das ist ja mal ein kurzer Zeitraum und wieso eigentlich Post-Ident-Verfahren? Der Preis hat mich hier weniger abgeschreckt, als der Gang zur Post – wann soll ich das denn machen… Aber Hallo. Ich finde diesen Absatz schon sehr ungewöhnlich und das ist, was meinen Argwohn weckt. „Nachtigall, ick hör dir trapsen – Das ist doch eine Phishing-Mail“ – da sehe ich mir mal den Button an. Wenn man vorsichtig mit der Maus rüberfährt kommt der Tooltip.

Das ist nicht Amazon.de!!!
Das ist nicht Amazon.de!!!

Wie gut, dass ich mit der Maus und nicht mit einem Touch-Bildschirm unterwegs bin… Ich weiss nicht, ob ich mir den Tooltip auf einem Touch-Device angesehen hätte. Ich war mir immer noch nicht sicher, ob dies nun eine echte Email, oder eine Phishing-Email war. Nun wollte ich es aber genau wissen und benutzte folgende Funktion in Outlook

Quelle verstehen
Quelle verstehen: Quelltext anzeigen.

Im Quelltext liegt die Wahrheit und dann wurde es mir sehr schnell klar – wie lustig, was ich dort fand. Im Klartext 🙂

tststs
tststs

Das finde ich mal einen netten CSS Katalog. Phishing Mail Dateien.

Na gut. jetzt war also alles klar und ich fand darüber hinaus noch weitere Dinge, wie zum Beispiel beim Impressum-Link, der mir zwar die Hand beim MausCursor anzeigt (bedeutet: kannste Klicken!) aber keinen Tooltip. Das sieht im Quelltext dann so sus:

Leerer Link

href= „“ – naja – da geht natürlich nichts in Sachen Verlinkung, denn hier müßte eine Webadresse stehen. Weiterhin gab es noch ein paar Stellen mit einer sehr eigentümlichen Quelle der Bilder in dieser Mail

nicht Amazon

Normalerweise würde ich hier eine „Amazon.de“ Adresse erwarten. Und hier ist auch meine Bitte an Outlook:

Liebes Outlook,

5.135.42.141 ist nicht auf meiner Liste der sicheren Absender. Wieso lädst Du dann die Bilder herunter???

Wenn ich nach dieser IP suche finde ich das hier:

man kennt sich...
man kennt sich…

Wenn der Geist dann erwacht – sieht er natürlich gleich viel mehr Hinweise – die ihr wahrscheinlich schon im ersten Screenshot gesehen habt 😉

Hier einmal die Zusammenfassung…

Setzen, 4!

Ich wünsche Euch, dass ihr nicht auf den Knopf gedrückt habt und nicht eure Daten eingegeben habt – dann seid ihr wahrscheinlich gephisht worden.

Meine Tipps für euch, die ich aus dieser Erfahrung gezogen habe sind

  1. Vergesst die Liste der sicheren Absender in Outlook – bitte nicht verwenden
  2. Online Plattformen wollen euch als Kunden behalten – Ultimaten oder Drohungen sind kein geeignetes Stilmittel
  3. Überprüft stets die Links in Emails, ob sie wirklich auf den Dienstanbieter gehen (Amazon.de ist nicht gleich kundenirgendwas-amazon.de)
  4. Geht bei solchen Anforderungen immer auf das Portal über den Browser und nicht durch Knopfdruck in einer Mail – dann wisst ihr auch sicher, wo ihr seid
  5. Wenn es immer noch unsicher ist, überprüft den Quelltext (siehe oben)
  6. Wenn ihr soetwas von einem Online-Anbieter bekommt – ändert umgehend euer Passwort – und macht es sicher!

So bleibt ihr in Freiheit und euer Konto auch. Wenn ihr mehr lernen wollt oder eure Mitarbeiter trainieren wollt, wendet euch an unseren Partner, IBV. Die IBV bietet einen guten Phishing Trainings Service an.

Grüße aus der Freiheit

Euer Christian