Betrüger fischen in der Corona-Krise nach neuen Opfern

Die Cyberkriminalität nimmt mit der Corona-Krise ungeahnte Ausmasse an. Mittels Phishing versuchen Betrüger, Daten zu stehlen – und nutzen die Sorgen der Bevölkerung schamlos aus. Die Versuche werden professioneller. Das zeigen die aktuellen Berichte.

Alte Masche, angepasste Methodik

Phishing ist vielen ein Begriff: Betrüger versuchen, über gefälschte E-Mails oder Websites an persönliche Daten zu gelangen – sie angeln danach. In unserem Beitrag vom 24. März haben wir bereits auf die zunehmende Verbreitung schädlicher E-Mails hingewiesen.

Mittlerweile haben viele Verbraucherzentralen und das Bundesamt für Sicherheit und Informationstechnik (BSI) nachgezogen und klären Bürgerinnen und Bürger aktiv auf.

Der aktuelle Betrugsversuch

Schon im März waren Sparkassen eine beliebte Angriffsbasis. Die Angriffe blieben nicht nur konstant – sie nahmen weiter zu. Fehlerfreie Grammatik, das originale Sparkassen-Logo, professionell gefälschte Absenderadressen: Betroffene haben es schwer, diese Mails als Betrug zu erkennen.

In den Mails steht, die meisten Sparkassenfilialen seien wegen der Corona-Krise geschlossen. Daher sollen Empfänger über einen Link ihre Kontaktdaten aktualisieren – angeblich der einzige Weg, weiterhin mit der Bank in Kontakt zu bleiben.

Umgang mit Phishing-Mails

Erstes Ziel der Verbraucherzentralen und des BSI ist es, Transparenz zu schaffen und konkrete Informationen bereitzustellen. Im Servicebereich des BSI findest du Hintergründe zu Phishing, aktuelle Fälle und konkrete Hinweise zum Umgang mit schädlichen Mails – inklusive eines realen Beispiels, das zeigt, wie überzeugend solche Betrugsversuche auf den ersten Blick wirken.

Wie du potenziell gefährliche Mails erkennst, ist dort ausführlich erklärt. Wir konzentrieren uns deshalb auf ein konkretes Thema: gefälschte E-Mail-Adressen.

Der „Header“ – Kopf des Verbrechens

Der sogenannte Header steckt in jeder E-Mail und bildet den Datenkopf. In der Informationstechnik bezeichnet Header generell ergänzende Daten am Anfang eines Datenblocks – also Metainformationen, die du auf den ersten Blick nicht siehst. Wir suchen genau diese Zusatzinformationen, auch Metadaten genannt.

Den Header gibt es sowohl in E-Mails als auch auf jeder Website. In einer E-Mail verrät er dir die genauen Daten des Absenders. Auf einer Webseite dient er hauptsächlich der optischen Gestaltung – ein anderer Anwendungsfall, andere Funktion.

So offenbart sich der Kopf des Phishing

Egal ob du deine Mails im Browser oder mit separater Software verwaltest – du kannst dir den Quelltext anzeigen lassen. Die meisten E-Mail-Programme erlauben es, mit dem Mauszeiger über den Absender zu fahren (nicht klicken!), um verborgene Informationen einzublenden. Alternativ bietet oft ein Drop-Down-Menü neben dem Empfänger-Feld denselben Aufschluss. Auch über Einstellungen gibt es meist die Option „Quelltext anzeigen„. Abhängig von der Software siehst du dann unter anderem:

1. Delivered-To
2. Received: by
3. Return-Path
4. Received: from

Beim Aufspüren eines gefälschten Absenders interessiert dich vor allem das Feld „Received: from„.

Das Kryptische entschlüsseln

Der Return-Path enthält eine vollständige E-Mail-Adresse. Er gilt als „wahrer“ Absender – lässt sich aber heute leicht fälschen. Im Feld „Received: from“ stecken dagegen Angaben, die sich nur mit grossem Aufwand verschleiern lassen: die IP-Adresse und der Mail-Server.

Stimmen diese beiden nicht überein, deutet das auf Fälschung hin. So kompliziert ist es aber glücklicherweise nicht. An den Beispielen von Sparkasse und anderen hat sich gezeigt: Oft finden sich bereits im Return-Path kryptische Zeichenfolgen oder Schreibfehler, die einen seriösen Absender ausschliessen.

Weiterführende Ideen zum Umgang mit Phishing

Du weisst jetzt, wie du verdächtige Mails erkennst und damit umgehst. Drei weitere Ansätze helfen dir, nicht nur auf Phishing zu reagieren – sondern seltener ins Visier zu geraten.

• Viele Mailprogramme können weit mehr, als du täglich nutzt. Über Einstellungen lassen sich Filter für eingehende Nachrichten festlegen:
  • Du kannst bestimmte Absender sperren, sodass du keine weiteren Mails mehr erhältst. Wurdest du schon einmal Ziel von Phishing, kommt der Absender auf die Sperrliste.
  • Über Felder wie „Betreff“ und „enthält die Wörter“ lässt sich der Filter weiter verfeinern. Keine Mails zu Corona, weil du dich direkt informierst? Trag das Wort einfach ein.
  • Sogar die Grösse erlaubter Anhänge lässt sich regulieren. Bekommst du normalerweise gar keine oder nur kleine Dateien, kannst du das entsprechend einstellen.
• Mailing-Software lernt. Deklariere verdächtige und ungewollte Mails als Spam – schon bald merkt sich die Software deine Wahl und prüft neue Mails entsprechend. Vieles Unnütze (und Gefährliche) landet dann automatisch im Spam-Ordner. Dort kannst du Nachrichten jederzeit wiederherstellen und in den Posteingang verschieben.
• Erkennst du eine Phishing-Mail zu einem aktuellen Thema – wie im Paradebeispiel Corona –, leite sie an deine Verbraucherzentrale weiter. Auch der Schweizer Konsumentenschutz empfiehlt, betrügerische Absichten zu melden. Nur so können Behörden effektiv handeln.