Phishing-Mails sind längst nicht mehr plump oder schlecht formuliert – mittlerweile wirken viele täuschend echt. In einem aktuellen Fall wurde in einer gefälschten E-Mail, die angeblich von der Commerzbank stammt, nach über 200 Leerzeilen ein vollständiger Wikipedia-Artikel über die Commerzbank eingefügt. Diese Maßnahme ist kein Zufall, sondern Teil einer gezielten Täuschungsstrategie.
In diesem Artikel beleuchten wir den Aufbau der Mail, die Absicht hinter der Wikipedia-Einbindung und wie sich solche Mails zuverlässig entlarven lassen.
Die Phishing-Mail im Überblick
Die fragliche Commerzbank-E-Mail zeigt bereits beim ersten Anblick typische Merkmale einer Phishing-Nachricht:
- Gefälschter Absendername: Der in den Kopfzeilen sichtbare Absender lautet: Commerzbank <contactform@commerzbank.de>. Obwohl die Adresse auf @commerzbank.
deendet, bedeutet das nicht automatisch, dass sie echt ist. E-Mails können leicht mit gefälschten Absenderadressen versehen werden („E-Mail-Spoofing“). - Verdächtige Received-Zeilen (Mail-Routing): Die E-Mail wurde nicht wie angegeben von der Von-Mail-Adresse contactform@commerzbank.de gesendet, sondern sie wurde über mehrere Server in Kroatien geleitet: „Received: from mailout3.t-com.hr … Received: from ls405.t-com.hr … Received: from ls266.t-com.hr … Received: from 78-3-100-34.adsl.net.t-com.hr“.
- Nicht personalisierte Anrede: „Sehr geehrte Kundin, sehr geehrter Kunde, …“, siehe Abb. 1, Punkt 4.
- Bedrohungsszenario & Handlungsdruck: Der Text forderte die Empfänger auf, das Konto umgehend zu verifizieren, um angebliche Sicherheitsrisiken für das Konto zu vermeiden – ein klassisches Social-Engineering-Muster, siehe Abb. 1, Punkt 2 und 5.
- Hyperlink zu externer Phishing-Seite: Der Klick auf den enthaltenen Button führt nicht zur echten Commerzbank, sondern zu einer externen Domain, „https://pitefinamdoalsteamw3ef1c.myclickfunnels.com/pitefinamdoalsteam…“ mit gefälschter Login-Seite, siehe Abb. 1, Punkt 3 und 4.
Die Rolle des Wikipedia-Artikels
Nach dem eigentlichen Phishing-Inhalt folgt nach einer langen Scroll-Strecke von über 200 Leerzeilen der kopierte Inhalt eines Wikipedia-Artikels in französischer Sprache über die Commerzbank – inklusive Links, Bilderverweisen und Quellenangaben (siehe Abb. 2).
Warum machen die Täter das?
1. Spam-Filter-Tarnung: Viele E-Mail-Filter analysieren den Textkörper einer Nachricht, um zwischen legitimen und betrügerischen Inhalten zu unterscheiden. Durch das Einfügen von großen Mengen „vertrauenswürdigen“, sachlich-neutralen Texts (wie einem Wikipedia-Artikel), versuchen Phishing-Akteure, den Gesamtscore des Inhalts in Spamfiltern zu verbessern. Wikipedia-Inhalte haben eine hohe Vertrauensbewertung bei vielen heuristischen Scannern.
2. Täuschung durch Vertrauenswürdigkeit: Wenn ein technisch weniger versierter Empfänger versehentlich bis zum Ende der Mail scrollt, könnte der Eindruck entstehen, dass die Mail „offiziell“ oder glaubwürdig sei – schließlich steht da eine lange, seriös wirkende Beschreibung der Commerzbank, wäre da nicht dieser Widerspruch: Auch der weniger versierte Empfänger wird schnell feststellen, dass die Fake-Mail in deutscher Sprache und der Wikipedia-Artikel in französischer Sprache verfasst bzw. dargestellt wurde.
3. Erschwerung automatisierter Erkennung: Der neutrale oder seriös wirkende Wikipedia-Inhalt kann Signaturen-basierte Filtermechanismen aushebeln. Diese Tools suchen nach typischen Textmustern (wie z. B. „dringend bestätigen“, „Login hier klicken“). Wird dieser Text von „unverdächtigem“ HTML-Text und Leerzeilen überdeckt, kann der böswillige Angriffsinhalt möglicherweise verdeckt bleiben.
4. Technische Umgehung von URL-Scannern: Einige heuristische Scanner analysieren Links und deren Kontext. Durch das „Strecken“ der E-Mail mit neutralen Inhalten (insbesondere über viele Zeilen hinweg), kann der tatsächliche Phishing-Link aus dem direkten Analysefokus geraten.
Lese-Tipp mit weiterführenden Informationen zu diesem Thema: Warum Phishing-Angreifer nach unzähligen Leerzeilen am Ende der E-Mail zusätzliche Texte und Links einfügen
Wie man Phishing-Mails erkennt
Auch wenn Angreifer immer kreativer werden – mit einem geschulten Blick und ein paar Grundregeln lassen sich Phishing-Mails leicht enttarnen:
1. Absenderadresse überprüfen
- Der Absendername kann gefälscht sein.
- Wichtig ist die Domain nach dem @: Stammt sie wirklich von „commerzbank.de“ oder von einer abwegigen Subdomain, wie z. B. „…@ls266.t-com.hr“? Die Von-Adresse ist hier nicht ausschlaggebend, denn sie kann gefälscht sein. Den wahren Absender kannst du mithilfe der E-Mail-Header-Angaben „Received: from …“ identifizieren.
2. Auf die Sprache achten
- Viele Phishing-Mails enthalten ungewöhnliche Formulierungen, Rechtschreibefehler, schlechte Grammatik oder automatisiert übersetzte Inhalte.
- In der analysierten Mail (Abb. 1) ist der folgende, holprige, unverständliche Satz zu lesen: „Da die Verifizierung bisher nicht abgeschlossen wurde, nicht bestätigten Konten vorübergehend sperren.“
3. Kein echter Ansprechpartner
- Eine seriöse Bank verwendet eine personalisierte Anrede (z. B. „Sehr geehrter Herr Müller“) – niemals nur „Sehr geehrter Kunde“.
- Außerdem: keine Signatur, kein Ansprechpartner, keine Rückrufnummer = rote Flagge.
4. HTML-Inhalte und Quelltext prüfen
- Nutze den Quelltext („Raw View“) zur Analyse von Header- und Body-Zeilen.
- Viele Phishing-Mails nutzen HTML-E-Mails mit versteckten Feldern, eingebetteten Links und optischen Elementen wie Logos – prüfe, indem du z. B. mit der Maus über dem Button fährst und durch Analyse des Quelltextes, wohin der Link wirklich führt.
6. Unerwartete Anhänge oder eingebettete Inhalte
- Kommt ein PDF, ZIP oder DOCX mit? Finger weg!
- In diesem Fall war es ein reiner HTML-Phishing-Link, aber eingebettet in eine aufwendige HTML-Mail mit Wikipedia-Content.
7. Unglaublich viel Leerraum
- Achte auf ungewöhnlich viel Leerraum oder Scroll-Strecken in E-Mails. Viele Leerzeilen in einer Mail sind kein Zufall, sondern ein Trick, um den gefährlichen Inhalt zu verstecken – oder um Analyse-Tools auszutricksen.
Gezielte Täuschungstaktik
Die Einbindung eines Wikipedia-Artikels in einer Phishing-Mail ist eine gezielte Täuschungstaktik, um Filter zu umgehen und den Anschein von Seriosität zu wahren. Während technisch weniger versierte Nutzer so getäuscht werden könnten, lassen sich diese Mails durch grundlegende Prüfung (Header, Linkziele, Formatierung) gut erkennen.
Tipp: Wenn du dir bei einer E-Mail nicht sicher bist – niemals auf Links klicken, sondern die Website deiner Bank manuell über den Browser eingeben oder beim Kundenservice anrufen.
Teile diesen Beitrag in den sozialen Medien:
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
