Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Identitätsdiebstahl
Geschrieben: 11.08.2022
Letzte Überarbeitung: 16.10.2023
Stichwörter: Angriffe
Eine verdächtige E-Mail
Unter dem Betreff "Helfen" finde ich im "Unbekannt"-Ordner meines Postfachs folgende E-Mail:
"Ich hoffe dass dieser Brief dich rechtzeitig erreicht. Ich bin gerade im Urlaub in Istanbul und mir meine Tasche mit Geldkarten, Krankenversicherungskarte und Reisepass gestohlen wurde. Die Botschaft ist bereit, mich ohne meinen Pass fliegen zu lassen. Ich muss nur noch für mein Flugticket und die Hotelrechnung bezahlen. Ich wollte Dich fragen ob Du mir mit 1,430 Euro leihen kannst. Das Geld durch MoneyGram ist die beste möglichkeit.
Ich warte auf deine Antwort.
Jan Zumwinkel
Tölzer Trachten- und Gebirgsverein"1
Natürlich eine gefälschte E-Mail ...
... denn diese wenigen Zeilen haben sehr viele Fehler, die bei einem deutschen Muttersprachler nicht leicht nur mit Aufregung und Tippfehlern zu erklären sind. Und es fehlt die gewohnte Anrede "Lieber Martin". Auch die Schlussformel "Ich warte auf deine Antwort", ganz ohne Grüße, ist ungewöhnlich. So schreibt Jan nicht! Und warum hat er sich nicht an seine Freundin gewandt? Auch der Betreff "Helfen" klingt ziemlich unpersönlich.
Aber wenn diese Mail der Angreifer*in etwas bringen soll, dann muss sie Zugriff auf Jans E-Mail-Konto haben. D. h. die Sachlage ist weitaus schlimmer, als die einer gefälschten Absenderadresse.
Jan erreiche ich nicht gleich telefonisch, aber ein Anruf bei Jans Freundin bewahrheitet meine Vermutung. Zig Bekannte Jans haben schon entsprechende Mails bekommen, Jan selbst hat keinen Zugriff mehr auf das E-Mail-Konto, das Kennwort wurde geändert. Bald darauf ruft Jan zurück, ist voll im Stress, hat schon Polizei und E-Mail-Provider kontaktiert, kann aber auch noch nicht den Zugriff auf das Postfach zurückerhalten, da gibt es wohl Sperrfristen. Er ist sich nicht sicher, ob die Hacker*in weiter Zugriff hat.
Andere Konten sind gefährdet
Wenn ein E-Mail-Konto gehackt wurde, dann kann die Angreifer*in leicht auch andere Konten, z. B. bei bekannten Shops oder sozialen Medien, hacken: Die E-Mail-Adresse hat sie ja schon und sie braucht nur auf den Anmeldeseiten versuchshalber "Kennwort vergessen" anklicken und ein neues Kennwort anfordern.
Ich weise Jan auf diese Gefahr hin. Jetzt hat er leider noch mehr Stress, aber zur Schadensbegrenzung muss er sich nun auch noch um sämtliche Internet-Konten, bei denen er die E-Mail-Adresse angegeben hat, kümmern. Also entweder gleich eine zweite E-Mail-Adresse besorgen und alle Konten auf diese umstellen. Oder zittern bis er wieder Zugriff auf seine normale Adresse hat und dann alle Konten überprüfen, ob da kein Missbrauch betrieben wurde, oder die Konten löschen und später wieder neu anlegen. In jedem Fall viel Arbeit und keine wirklich gute Lösung.
Wie kam es zu dem Hack?
Mit einer Internetsuche nach dem Textanfang der gefälschten E-Mail bekomme ich auf verbraucherschutz.com2 Hinweise auf die Betrugsmasche. Als mögliche Ursachen werden Malware auf dem PC, vor allem aber Phishing genannt. Bei E-Mail-Providern wird aber auch vor zu schwachen Kennwörtern gewarnt.
Wenn man dasselbe Kennwort bei mehreren Internet-Konten verwendet, kann es auch sein, dass einer dieser Services gehackt wurde und dieser das Kennwort auf unsichere Weise abgespeichert hatte. So kommen oft Kennwörter in den Besitz von Online-Kriminellen. Jan versichert jedoch, das Kennwort nur für das E-Mail-Konto verwendet zu haben. Dennoch will ich überprüfen, ob es auf der Liste der bekannten kompromittierten Kennwörter steht.
Jan ist so freundlich, mir sein E-Mail-Kennwort zu nennen (da die Hacker*in es kannte, ist es ja ohnehin schon kompromittiert). Via "Have I been pwned"3 überprüfe ich, ob das Kennwort vielleicht schon im Darknet gehandelt wird. Das war nicht der Fall. Das Kennwort hat auch eine Länge, die es nicht als schwach genug für einen erfolgreichen Brute-Force-Angriff4 über das Internet erscheinen lässt.
Jan hatte auch einen Virenscanner installiert. Eine Malware auf dem PC als Ursache ist also auch nicht sehr wahrscheinlich.
Also ist wohl ein vorangegangener Phishing-Angriff gegen Jan die wahrscheinlichste Ursache.
Phishing ...
... bedeutet, dass man (meist über eine E-Mail) auf eine gefälschte Seite gelockt wird, und zur Eingabe von vertraulichen Daten (z. B. Anmeldedaten) gebracht wird.
Das Locken auf eine gefälschte Seite selbst ist, wenn der Browser up-to-date gehalten wird, an sich nicht so furchtbar gefährlich. Ein aktueller Browser sollte robust gegen beliebige vom Server gesandten Daten sein.
Gefährlich ist, wenn die Besucher*in ungerechtfertigtes Vertrauen in die Seite gewinnt, weil sie so echt ausschaut.
Leider benutzen viele Internetdienste Links in E-Mails, durchaus auch für berechtigte Zwecke, aber ohne ihre Kund*innen über die Gefahren aufzuklären. Im Gegenteil, sie gewöhnen geradezu Ihre Kund*innen daran, solche Links sorglos zu benutzen.
Wenn z. B. ein Dienst eine E-Mail schickt, dass die Datenschutzhinweise aktualisiert wurden, und gleich einen Link mit einschließt, so führt das Anklicken des Links an sich noch zu keiner Preisgabe von Daten, aber die angeklickte Seite hat in der Regel ein Menü, über das man auch auf die Anmeldeseite gelangen kann. Wer denkt schon daran, dass jeder Link und Folgelink auf dieser (via E-Mail erreichten) Seite misstrauisch zu betrachten ist, und dass keinesfalls eine Anmeldung erfolgen sollte.
Nicht einmal das Schlosssymbol in der Adresszeile gibt Sicherheit: Denn es besagt nur, dass für die in der Adresse verwendete Domain eine Ende-zu-Ende-Verschlüsselung besteht. Leicht veränderte Domainnamen (z. B. der Austausch eines 'i' durch ein 'í' oder ein 'ì') und kopierte Inhalte, all das kann täuschen.
Sicher ist dagegen, per Suchmaschine nach dem Dienst zu suchen. Denn diese gehen nicht nach der exakten, sondern nach der ungefähren Schreibweise und finden dann die Originalseite des Dienstes und nicht deren Fälschung.
Wenn einem also z. B. (angeblich) Amazon oder Google schreibt, dass jemand versucht hat, sich in dem eigenen Konto dort anzumelden, sollte man nicht einem Link in der E-Mail folgen, um das zu überprüfen, sondern nur per Suchmaschine oder über zuvor abgespeicherte Favoriten zur Kontoanmeldung gehen. Gewöhnt man sich dieses Verhalten grundsätzlich an, haben es Phisher*innen schon sehr, sehr viel schwerer.
Ein paar Tage später ...
... hat Jan sein E-Mail-Konto wieder, konnte ein neues Kennwort setzen, hat nochmals den PC auf Viren gescannt, die Internetkonten alle überprüft. Er hatte Glück, bei keinem weiteren Konto war das Kennwort geändert, also war die Hacker*in auch wohl nirgends sonst drin.
Auch keine*r seiner Bekannten hat sich auf die Überweisungsbitte eingelassen. Also außer viel Stress und Arbeit ist kein größerer Schaden entstanden. Leider geht es aber nicht immer so glimpflich aus.
1) Name und Organisation sind geändert (auch das Geschlecht habe ich per Münzwurf neu gewählt), aber der Fall beruht ansonsten auf einer tatsächlichen Begebenheit.
2) https://www.verbraucherschutz.com/warnungsticker/betrug-freund-bekannter-bittet-per-e-mail-um-geld
4) Siehe Glossar "Brute Force"