Phishing, oder wie man eine interne E-Mail nicht schreibt

Wie viel Aufwand stecken Unternehmen und Sicherheitsexperten darin ihren Mitarbeitern beizubringen, dass auf Links in E-Mails von fremden Absendern und mit ungewöhnlichen Inhalten nicht geklickt werden darf? Im einfachsten Fall verbirgt sich hinter dem Link nur ein Virus oder ein Trojaner, der dann hunderte Computer im Netzwerk verseucht und wochenlange Aufräumaktionen nach sich zieht. Es könnte sich allerdings auch um eine Phishing Attacke handeln, bei der der User auf eine Webseite gelenkt wird um dort seine Zugangsdaten einzugeben, die die Angreifer dann dankend aufzeichnen und bei Gelegenheit zu ihren Zwecken verwenden werden.

Das sind eigentlich alles alte Hüte und sollten dank gebetsmühlenartiger Wiederholung irgendwann einmal in den Köpfen der Computernutzer verankert sein. Leider ist dem jedcoh nicht so, wie regelmäßige Virenvorfälle basierend auf E-Mails mit gefälschen Telefonrechnungen oder Sendungsbenachrichtigungen immer wieder zeigen. Zugegeben, die Qualität mit der diese E-Mails produziert werden, ist schon sehr gut. Doch bei genauerer Betrachtung findet man immer noch ausreichend deutliche Anzeichen, die einen aufmerksamen User doch noch hellhörig machen.

Indizien für eine Phishing E-Mail

Ein Hauptindiz sind Rechschreibfehler oder die Verwendung einer abstruse Grammatik. Fehlende Umlaute sind in Phishing E-Mails immer wieder ein deutliches Anzeichen, denn die Autoren sitzen oftmals nicht in Deutschland und haben keine Tastatur mit der die deutschen Sonderzeichen abgebildet werden können.

Ebenso verdächtig ist eine fehlende persönliche Anrede. Zwar werden auch hier die Angreifer immer besser denn neben reinen Listen mit E-Mail Adressen werden zwischenzeitlich auch die zugehörigen Namen mitgehandelt. Dennoch, eine seriöse Organisation wird ihre Kunden nicht mit “Lieber Nutzer” oder “Sehr geehrter Kunde” anschreiben, wenn es sich um eine persönliche Nachricht handelt. Der Nachname und üblicherweise auch der Vorname ist da mindestens in der Anrede geboten.

Ähnlich sieht es auch mit der Verabschiedung aus. Eine Floskel wie “Ihr Kundencenter” ohne Angabe eines Namens ist schon schwer verdächtig. Fehlen dann auch noch die Kontaktangaben gehört die E-Mail wohl eher in den Mülleimer als weiter gewürdigt.

Drohungen und merkwürdige Geld- oder Gebührenforderungen finden sich in seriösen E-Mails auch nicht. Keine Bank wird mit einem Inkassounternehmen oder anderen Geldeintreibern in einer E-Mail drohen. Wenn tatsächlich so drastische Maßnahmen erforderlich sind, so erfolgt deren Ankündigung zwar deutlich aber höflich formuliert in einem klassischen Brief auf Papier.

Fragmente der Automatisierung tauchen auch immer wieder einmal in schlecht gemachten Phishing E-Mails auf. Dies sind Platzhalter im Text wie bei einem Serienbrief, die eigentlich mit Namen etc. gefüllt werden sollten. Zu erkennen sind sie oftmals an geschweiften Klammern mit einer englischen Bezeichnung wie “{rcvr_name}” oder ähnliches. Stümperhafte Phisher, die ihre Tools nicht beherrschen vergessen diese Felder auszufüllen oder ihre Adressdaten vorher zu säubern.

Ein ganz klares Anzeichen für eine Phishing E-Mail (und der eigentliche Kern derselben) sind die in der E-Mail enthaltenen Links über die man auf eine Webseite geleitet werden soll. Dies ist die Webseite auf der man sein Konto entsperren, einen Konflikt lösen oder irgendeine hinterlegte, obskure Nachricht einsehen kann. Dabei muss man unterscheiden zwischen dem Link, der als Text angezeigt wird (und in der Regel der korrekte Link zur Bank o.ä. zu sein scheint) und dem Link, der tatsächlich dahinter liegt und durch Anklicken aufgerufen wird. Als Beispiel: der folgende Link http://www.jaegers.net verweist keineswegs auf diese Webseite, sondern auf eine bekannte Online Exyklopädie. In den meisten E-Mail Programmen oder Internet Browsern kann man dies sehen, wenn man den Mauszeiger über diesen Link bewegt. In der Statuszeile wird dann der richtige Link angezeigt. Geht dies nicht, kann man immer noch über die rechte Maustaste den Link kopieren und dann per Einfügen in einen Editor hineinkopieren und sich das Resultat ansehen. Je kryptischer dabei der Link und je abweichender dieser von dem Text, desto wahrscheinlicher handelt es sich um eine Fälschung.

Also, wenn einer der Punkte vorliegt lohnt es sich die grauen Zellen zu aktivieren, sich nicht in Panik versetzen zu lassen und äußerst skeptisch zu sein:

  • Hat man eine Geschäftsbeziehung/ein Konto bei diesem Unternehmen?
  • Wurde man bislang schon einmal von diesem Unternehmen auf diese Weise kontaktiert?
  • Kennt man die, bzw. eine Person dieses Namens, die eine Nachricht hinterlassen haben könnte (und wenn, warum kontaktiert diese Person sie nicht auf normalem, direktem Wege)?
  • Erwartet man tatsächlich ein Paket oder eine Postsendung?
  • etc.

Und dann kam die interne E-Mail

Umso erstaunter war ich dann, als ich dienstlich eine interne E-Mail erhielt, in der ich in englischer Sprache, optisch erbärmlich aufbereitet auf die verpflichtende Durchführung eines Online Trainings hingewiesen wurde. Der Link (mit einer mir nicht bekannten URL/Domain) zum Training war sogleich beigefügt und als Absender grüßte mich dann auch noch meine Compliance Abteilung. Dass diese E-Mail angeblich automatisch generiert worden sei und ich dem Absender nicht antworten könne, war da nur am Rande ein mittlerweile leider zum Alltag gewordenes Ärgernis. Immerhin gab es allerdings im Text eine Kontaktadresse an die man sich wenden könnte, jedoch hatte auch diese E-Mail Adresse nichts mit unserem Unternehmen noch mit dem angegebenen Link zu tun.

Zusammenfassend beinhaltete diese E-Mail also:

  • einen Link zu einer unbekannten Seite
  • eine Drohung (“verpflichtendes Training”)
  • keinen klaren Absender (“Ihre Compliance Abteilung”)
  • ein Erscheinungsbild, das den üblichen “amtlichen/professionellen” E-Mails nicht annähernd entsprach
  • eine “fremde” Sprache (Englisch) und
  • inkonsistente E-Mail Adressen (Absender, Kontaktadresse, Internetadresse)

Ehrlich gesagt war ich kurz davor diese E-Mail als SPAM zu markieren und anschließend zu löschen, doch auf Nachfrage hin konnte jedoch geklärt werden, dass es sich tatsächlich um eine korrekte und gültige Aufforderung zu einem Online Training handelte.

Wie hätte man es richtig gemacht?

Viele Fehler in einer vielleicht wohlgemeinten, aber schlecht gemachten E-Mail, wie sie mir zum Glück eher selten ins Postfach landet. Dabei wären die folgenden Maßnahmen zu ergreifen gewesen, um die E-Mail nicht wie ein Phishing Versuch aussehen zu lassen.

  • Für das Online Training wurde ein externer Dienstleister und damit eine fremde URL genutzt. Dies ist nicht unüblich, doch warum verwendet man keine einge, den Usern bekannte URL, die dann auf die fremde Seite umleitet. Dies ist über einen einfachen Redirect möglich und schafft klare Transparenz, denn ein Redirect ist “nur” vom Eigentümer/technischen Verantwortlichen der Domain realisierbar.
  • Wenn es eine verpflichtende Maßnahme ist, dann wäre ein Hinweis darauf (eine Ankündigung) auf einem amtlichen Medium hilfreich gewesen. Hierzu bieten sich Intranetseiten oder regelmäßige Newsletter an, je nachdem, welches Kommunikationsmedium im Unternehmen bereits etabliert ist. Ein Hinweis durch die zuständige Führungskraft ist darüber hinaus auch eine gangbare Option. Ein Hinweis auf die Ankündigung, gerne auch mit zugehörigem Link, gehört dann auch in die E-Mail.
  • Von einer Compliance Abteilung hatte ich bis zu dem Zeitpunkt noch nie gehört, geschweige denn, dass ich heute wüsste, wer dahinter steckt. Insbesondere bei interner Kommunikation sehe ich keinen Hinderungsgrund hier auch einen namentlichen Ansprechpartner zu verwenden.
  • Die optische Aufbereitung, insbesondere bei E-Mails, die aus vorgefertigten Tools heraus verwendet werden, ist oftmals nicht, oder wenn dann nur sehr eingeschränkt möglich. In diesem Fall empfehle ich lieber eine klassische E-Mail Formatierung (nämlich keine), also eine reine Textnachricht zu verwenden.
  • In einem global agierenden Konzern wird zwischenzeitlich, insbesondere bei den Führungskräften davon ausgegangen, dass jeder der englischen Sprache mächtig ist und daher viele Kommunikation nur noch in dieser Sprache erfolgt. Wenn dies dem üblichen Verfahren entspricht, dann ist dies vertretbar.
  • Abschließend gilt für die verwendeten E-Mail-Adressen das gleiche wie für die Links. Auch bei E-Mail Adressen kann man Weiterleitungen einrichten, so dass auch hier auf bekannte Absenderadressen also mit der Firmeneigenen Domain zurückgegriffen werden kann.

Beherzigt man diese Punkte, kann das Training der Mitarbeiter nicht auf irgendwelche Links in dubiosen E-Mails zu klicken, vielleicht auch irgendwann von Erfolg gekrönt sein. Die in diesem Fall versendete E-Mail hat hingegen nicht dazu beigetragen.

Schreibe einen Kommentar

Nutze dieses Kommentarfeld um deine Meinung oder Ergänzung zu diesem Beitrag kundzutun. Verhalte dich bitte respektvoll und höflich! Kommentare werden vor der Veröffentlichung in der Regel moderiert und bei Verstößen gegen geltendes Recht, die guten Sitten, fehlendem Bezug oder missbräuchlicher Verwendung nicht freigegeben oder gelöscht.
Über die Angabe deines Namens, deiner E-Mail Adresse und deiner Webseite freuen wir uns, doch diese Felder sind optional. Deine E-Mail Adresse wird dabei zu keinem Zeitpunkt veröffentlicht.

Um mit dem Betreiber dieser Seite nicht-öffentlich in Kontakt zu treten, nutze die Möglichkeiten im Impressum.