Schutz vor Phishing und Spam

Mehr als 90 Prozent der weltweit verschickten E-Mails sind reiner Müll. Einen großen Teil davon filtern bereits die Internet-Firmen (und zum Teil auch Software wie Mail oder Entourage), doch ein mehr oder minder großer Rest landet trotzdem im Posteingang. Während sich einige dieser Nachrichten schon auf den ersten Blick als unseriös entpuppen, kommt bei vielen anderen ein leiser Zweifel auf, ob sie ungefährlich sind.

Auf den folgenden Seiten erklären wir den normalerweise unsichtbaren Vorspann (Englisch: “header”) einer E-Mail und zeigen, wie man falsche Internet-Links erkennt. Wer eine E-Mail weiterleiten will (an Personen mit Windows-Computer), sollte einen verdächtigen Anhang auf den Mac laden und dann auf einer bestimmten Internet-Seite prüfen lassen. Enthält der Anhang einen (für Windows gefährlichen) Trojaner, schützt man so die Empfänger – auch ohne Antivirensoftware für Mac-OS X.

TIPP Im November 2009 zum Beispiel kursieren wieder einmal viele virenverseuchte E-Mails, die angeblich von DHL stammen. Sie sind fast perfekt nachgemacht und haben einen Virus im ZIP-Archiv dabei.

Der Schutz des E-Mail-Accounts vor Spam und Viren sollte immer zweistufig erfolgen. Alle guten E-Mail-Provider bieten ihren Kunden bereits vorgeschaltete Mail-Filter. Je nach Anbieter sind diese komplett konfiguriert oder lassen sich vom Anwender selbst einstellen. Im Bild links können Filterlisten selbst erstellt werden, im Bild rechts bietet der Provider einen Schutz vor Spam und Viren mit einem Klick. Entsprechende Mails gelangen so erst gar nicht auf den Mac des Nutzers, sie scheitern bereits an der ersten Schutzmauer. Ein zweiter Schutzwall ist aber unumgänglich, einige Spam-Mails oder solche mit Viren können die Filter des Providers überwinden.

Das Programm Mail ist bereits mit einem Filter für unerwünschte Werbemails ausgestattet. Um ihn zu aktivieren, öffnen Sie zunächst die “Einstellungen” und hier die Option “Werbung”. Der Filter ist per Voreinstellung bereits eingeschaltet, der Benutzer legt fest, wo von Mail erkannte Werbung abgelegt werden soll. Zudem lässt sich etwa definieren, welche Mails ohne Prüfung durch den Spamfilter in den Posteingang gelangen dürfen. Hier sollte man Absender aus dem Adressbuch und solche ausnehmen, mit denen man bereits kommuniziert hat.

Beim Spam-Filter von Mail handelt es sich um einen sogenannten intelligenten Filter. Er ist “lernfähig”. Bei einer vom Programm als “Werbung” gekennzeichneten Nachricht, bei der es sich nicht um Spam handelt, wählt man einfach den Button “Ist keine Werbung”.

In Zukunft landen Mails von dem Versender automatisch in der Eingangsbox. Umgekehrt lässt sich Werbung, die vom Spam-Filter nicht erkannt wurde, aktivieren und mit einem Klick auf “Ist Werbung” als solche markieren. Im Laufe der Zeit fischt Mail automatisch fast alle Werbemails heraus.

Spammer kaufen Millionen Mail-Adressen, von denen meist nur ein Bruchteil funktioniert. Um herauszubekommen, bei welchen es sich um gültige, aktive Mailadressen handelt, betten viele Spammer einen Link zu einer Grafik ein, die auf ihrem Webserver liegt. Wird die Mail geöffnet, wird automatisch die Grafik abgerufen, und die Adresse ist verifiziert. Empfehlenswert ist es deshalb, in den Einstellungen unter “Darstellung” den Punkt “Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen” auszuschalten. Möchte man die Bilder in einer Nachricht sehen, klickt man rechts oben auf “Bilder laden”.

Hat man mit sehr viel Spam zu kämpfen, kann es sich lohnen, ein spezielles Programm wie beispielsweise Spam Sieve zu verwenden. Das Programm funktioniert als Plug-in in den meisten E-Mail-Programmen. Vor einer Masche, die anscheinend immer noch funktioniert, schützen oft auch die besten Programme nicht. Betrüger senden unter einer Bankadresse eine Mail mit einem Link, der Empfänger wird aufgefordert, ihn anzuklicken und seine Bank-, Kreditkarten- oder Ebay-Daten neu einzugeben. Hierbei liegt stets Betrug vor, solche Mails einfach löschen.

Absenderangaben sind leicht zu fälschen

In das Feld “Von:” kann der Absender praktisch alles eintragen – eine Fälschung ist schnell gemacht. Welche Person eine Nachricht wirklich versandt hat, lässt sich fast nie feststellen. Man kann aber im Zweifelsfall den Provider ausfindig machen, über den die E-Mail verschickt wurde. Die Info dazu steckt im Vorspann oder Header der E-Mail. Da Spammer oft E-Mail-Server im Ausland verwenden, ist eine “merkwürdige” Provider-Adresse oft ein Hinweis auf eine Spam- oder Phishing-Mail.

Ist eine Nachricht in Mail (oder Entourage) geöffnet, verwendet man bei Entourage 2008 den Befehl “Nachricht > Internetheader” und bei Mail den Befehl “Darstellung > E-Mail > Lange Header” (oder die Variante “Reine Datei”, die wahrscheinlich “Reiner Text” heißen sollte).

Für die Herkunft der E-Mail relevant sind die Zeilen, die mit “Received:” beginnen. Auch hier wird manchmal geflunkert, indem etwa unterhalb der echten Zeilen noch ein paar gefälschte stehen. An oberster Stelle findet man die Zeile, die der letzte Server in der Übertragung hinzugefügt hat. Sie stammt vom jeweiligen Internet-Provider beziehungsweise von dessen E-Mail-Server und ist sicher nicht gefälscht.

Analyse der IP-Adresse im E-Mail-Header

Die Absenderinfo hinter “Received:” beschränkt sich oft auf die IP-Adresse und die Domain. Mit Hilfe von Internet-Diensten kommt man aber an mehr Informationen; etwa wem eine IP-Adresse gehört und ob sie zur angegebenen Domain passt.

Das geht über das Formular “Who is”, das viele Internet-Großanbieter auf ihrer Internet-Seite zur Verfügung stellen. Whois ist aber ein Angebot der jeweiligen Firma, deshalb sollte man sich beim Test einer E-Mail besser an ein Portal wenden, dass mehrere Firmen abfragen kann, zum Beispiel www.dnsstuff.com oder www.network-tools.com. Die vier durch Punkt getrennten Zahlen der IP-Adresse gehören in das Feld “Whois Lookup”. Allerdings erhält man damit selten Informationen über eine Einzelperson. Viel häufiger ist die IP-Adresse Teil eines großen Adressbereichs, der etwa einem DSL-Provider gehört. Trotzdem ist diese Information bereits hilfreich: Eine Bank in Deutschland wird zum Versand von E-Mails sicher keinen DSL-Provider wie Alice oder Vodafone verwenden – von ausländischen Servern aus Brasilien oder Russland ganz zu schweigen. Stammt eine E-Mail, die vorgibt von einer Firma aus Deutschland zu kommen, von einem ausländischen Netz, kann man deshalb fast immer von einer Fälschung ausgehen.

TIPP Ein Sonderfall ist der Hinweis auf den Eigentümer “IANA/Internet Assigned Numbers Authority”. Das bedeutet, dass diese IP-Adresse aus einem lokalen Netz kommt. Sie ist für die Recherche unbrauchbar.

TIPP Einfacher geht die Analyse der IP-Adresse über die Seite “http://headertool.apelord.com”. Dort sieht man ein Feld, in das man den gesamten Header kopieren und zur Auswertung übermitteln kann. Auf der Antwortseite erhält man die zu prüfenden IP-Adressen mit einigen Knöpfen, mit deren Hilfe man den Besitzer der jeweiligen Adresse ermitteln kann.

Den Inhalt der Mail prüfen

E-Mails kommen seit einigen Jahren verstärkt im HTML-Format (manchmal schamhaft als “formatierter Text” bezeichnet). Darin lassen sich – wie auf jeder Internet-Seite – Links unterbringen, auf Wunsch versteckt hinter einem oder mehreren Worten. Das bedeutet, dass der Link und der sichtbare Text durchaus unterschiedlich sein können. Um dies zu prüfen, sollte man deshalb immer den Mauszeiger auf einen Link schieben und dort kurz unbeweglich stehen lassen. Mail (und Entourage) zeigen daraufhin die echte Adresse an, die aufgerufen wird, wenn man auf diesen Link klickt.

TIPP Cyberkriminelle verschleiern oft die wirkliche Adresse eines Links in einer E-Mail. Manchmal ist die Adresse so lang, dass es schwer ist, die richtige Domain ausfindig zu machen. Oft fügen die Angreifer außerdem die eigentliche Adresse vor oder hinter einigen Zusatzbuchstaben ein, um den Leser der E-Mail in Sicherheit zu wiegen.

TIPP Vor allem den Anfang eines verdächtigen Links sollte man genau lesen. Entscheidend ist der Teil zwischen “http://” und dem nächsten Schrägstrich oder Fragezeichen. Dieser Teil wird als “Top-Level-Domain” plus Domain-Namen bezeichnet.

BEISPIEL “http://www.deutscheban k.de.vu/?abfrage_kontostand&kt nr=123457” sieht auf den ersten Blick wie eine Internet-Adresse der Deutschen Bank aus, doch die Fälschung steckt vor dem dritten Schrägstrich “.vu” ist die Top-Level-Domain des Inselstaates Vanatu im Südpazifik. Eine solche Internet-Adresse lässt sich von jedermann registrieren und als Phishing-Site für Kunden der Deutschen Bank missbrauchen. Die korrekte Internet-Adresse dieser Bank ist übrigens www.deutsche-bank.de/

So maskieren Angreifer einen Link

Nicht immer wird ein Domain-Name verwendet, um auf ein Ziel im Internet zu verweisen. Oft steht in einem solchen Verweis die nummerische IP-Adresse. Auch wenn manche seriöse Firmen solche nummerische Adressen verwenden, sollte man diese Adresse als Indiz dafür werten, dass jemand etwas verschleiern will – ein echtes Alarmzeichen in einer E-Mail.

Internet-Adressen lassen sich noch auf viele andere Weisen schreiben und verschleiern. Vor einigen Jahren waren punktlose IP-Adressen in Mode. Das sind zehnstellige Zahlen, die – korrekt umgerechnet – wieder eine IP-Adresse ergeben.

TIPP Wenn eine E-Mail einen Link enthält, der beispielsweise http://347 5931693″ (punktlose IP-Adresse), oder “http://0324.0273.0167.0253” (Notation im Oktal-System) oder “http://0xd4bb77ab” (Notation im hexadezimalen System)lautet, sollten alle Warnglocken klingeln. Das ist immer ein Hinweis auf einen Adressfälscher – solche Links klickt man am besten niemals an.

Die Verschlüsselung lässt sich selbstverständlich rückgängig machen. Eines der Werkzeuge dazu gibt es sogar im Internet für alle gängigen Browser: www.netdemon.net/de code.html. Auf dieser Seite gibt es nur ein einziges Feld. Kopiert man die verdächtige Adresse in dieses Feld, wird darunter die klar lesbare nummerische Adresse, und wenn möglich, der Name hinter dieser Nummer angezeigt.

Missbrauch von GoogleDiensten

Kaum jemand misstraut Google. Beginnt eine Internet-Adresse mit “http://www.google.com”, sieht das auf den ersten Blick unverdächtig aus, doch ein Angreifer kann sich dieses Vertrauen zunutze machen, um damit den Browser zu einer ganz anderen Adresse zu schicken. Der Trick dahinter sind Suchworte und der Zusatz “&btnI=745″; beispielsweise ” https://www.google.com/search?q=macwelt+ipod+touch&btnI=745 “. Diese Adresse führt nicht zu etwa zu Google, sondern zu einer (harmlosen) Seite auf Macwelt Online mit einem Test von Apples iPod Touch.

TIPP Der Trick besteht aus zwei Teilen: Die Suchbegriffe “Macwelt, iPod und Touch” führen bei Google zu einer Ergebnisliste, an deren erster Stelle der erwähnte Testbericht steht. Wenn man die Google-Suche mit dem Zusatz “&btnI=745” ergänzt, aktiviert man damit bei Google den Knopf “Auf gut Glück”. Der wiederum springt sofort zur ersten Fundstelle und deshalb lädt der Browser mit der oben genannten Adresse sofort die Seite von Macwelt Online.

Jede Domain gehört einem Eigentümer

Auf welche Firma oder Person eine Domain registriert ist, verrät eine Whois-Abfrage; beispielsweise über die Internet-Seite www.dnsstuff.com. Die Adressen tippt man dort in das Whois-Feld ein – entweder die IP-Adresse oder Namen (statt “http://www.macwelt.de/” beschränkt man sich dort auf “www.macwelt.de”). Leider gibt es aber Firmen wie die Network Solutions in den USA, die gegen Aufpreis Anonymität zusichern. Die Antwort auf eine Whois-Abfrage zeigt dann nur “Network Solutions” und nicht den wahren Inhaber der Domain an. Wenn die Internet-Adresse auf “.de” endet, erhält man bei der deutschen Firma Denic (www.denic.de) Auskunft über den Eigentümer der Domain.

Mail-Anhänge – fast immer ungefährlich für Macs

Unter Windows kann man mit einem Klick auf einen gefährlichen Dateianhang, gefährliche Software starten. Auf dem Mac ist das Risiko dafür deutlich geringer, aber nicht Null. Deshalb gelten auch am Mac die üblichen Warnhinweise: Ein Anhang an einer E-Mail wird nicht geöffnet (sondern sofort gelöscht), wenn

– der Absender unbekannt ist

– die Mail-Adresse nicht zum Absender passt

– der Text nicht von diesem Absender kommen kann

– der Text keinen Sinn ergibt oder

– es sich um ein Sicherheits-Update handeln soll.

TIPP Wir raten explizit davon ab, eine solche E-Mail an Bekannte weiterzuleiten. Möglicherweise nutzen diese gerade einen Windows-PC und fühlen sich durch eine persönliche Nachricht dazu verleitet, den Anhang zu öffnen – ohne Virenschutz eine gefährliche Angelegenheit.

TIPP Selbst in SWF- (Flash) oder PDF-Dateien lassen sich gefährliche Dateien verstecken. Aber man kann einen solchen Anhang relativ einfach im Internet prüfen. Zuerst speichert man die Datei auf dem Schreibtisch. Anschließend lädt man im Browser die Seite www.virustotal.com und klickt auf der Seite auf den Knopf “Datei auswählen”. Dann wählt man die gespeicherte Datei auf dem Schreibtisch aus, klickt auf “OK” und schickt die Datei im Browser mit “Datei senden” an den Anbieter dieser Seite. Nach einer mehr oder minder langen Wartezeit erhält man eine Analyseseite, auf der sichtbar ist, ob (und ja, welche) Antivirensoftware einen Schädling in der Datei gefunden hat.

Fazit

Werbung und Lockangebote sind eine E-Mail-Plage, die sich mit den besten Filtern nicht restlos aussortieren lässt. Doch wer beim Empfang und Öffnen von E-Mails generell vorsichtig ist und sich im Zweifelsfall Zeit für eine Analyse nimmt, sollte sich ganz gut schützen können. Leider bleibt ein absoluter Schutz vor solchen Machenschaften ein unerfüllbarer Traum.