So erkennst du gefälschte, betrügerische Phishing-Mails von Banken, Teil 1: Deutsche Bank AG

In den vergangenen Monaten habe ich immer wieder über trickreiche und betrügerische Phishing-Mails von Banken berichtet. Da die Betrugsversuche via Phishing-Mails nicht abreißen, stelle ich euch hier die neuesten Maschen der Cyberkriminellen vor und zeige auf, wie ihr die betrügerischen Mails entlarven könnt. Seid bitte stets auf der Hut und weiterhin vorsichtig im Umgang mit E-Mails , die angeblich z. B. von der Deutsche Bank AG, Commerzbank, Postbank, Volksbank, Sparkasse stammen!

Meine Beitrags-Serie starte ich heute mit einer aktuellen Phishing-Mail, die angeblich von der Deutsche Bank AG stammen sollen.

1

Beispiel einer aktuellen, Phishing-Mail von der Deutsche Bank AG

Öffnest du die nachfolgend dargestellte E-Mail mit einem ähnlich lautenden Betreff wie “Neue Informationen. #123456789” in deinem E-Mail-Programm (ohne detaillierte Anzeige aller Kopfzeilen), ergibt sich folgendes Bild:

Abb. 1: Phishing E-Mail von der Deutsche Bank AG.

Jenachdem welches E-Mail-Programm du auf dem verwendeten Gerät (Smartphone, Desktop-PC, Tablet) nutzt und welche Einstellungen du dort vorgenommen hast, siehst du möglicherweise bei der “Von:”-Adresse nur noreply@deutschebank.de, das dahinter stehende Adresse in meiner Abb. 1 stehende <dev@tectech.jp> eventuell nicht. Sie gibt dir in diesem Beispiel allerdings einen Hinweis darauf, dass die E-Mail nicht von der Deutsche Bank AG versendet wurde, sondern von dev@tectech.jp.

2

Die Kopfzeilen einer E-Mail geben Aufschluß über den tatsächlichen Versender

Anhand von detaillierten angezeigten Kopfzeilen kannst du in den meisten Fällen (nicht in allen!) sehr schnell erkennen, von welcher Domain oder IP-Adresse die E-Mail tatsächlich versendet wurde:

Abb. 2: Die Anzeige der Kopfzeilen der gefälschten E-Mail von der Deutsche Bank AG verrät den tatsächlichen Versender.

Offensichtlich sieht es so aus, als ob die versendende E-Mail-Adresse dev@tectech.jp lautet. Zum Versenden der E-Mail wurde allerdings der Cloud-Dienst SendGrid verwendet. SendGrid ist eine cloud-basierte E-Mail-Zustellplattform. In der Abb. 2 siehst du den Versender unter “Received: from xtrwkqxb.outbound-mail.sendgrid.net ([167.89.20.171])”. Mit Hilfe einer Whois-Abfrage lässt sich nun feststellen, dass die angegebene, versendende IP-Adresse 167.89.20.171 eindeutig dem Cloud-Dienst SendGrid zuzuordnen ist.

Die E-Mail-Adresse dev@tectech.jp wird lediglich als Absender-Adresse und für die DKIM-Signatur benutzt, versendet werden die Phishing-Mails aber über die cloud-basierte E-Mail-Zustellplattform SendGrid.

3

Die Widersprüchlichkeiten bei den Absender-Angaben sprechen für eine Phishing-Mail

Anhand der Kopfzeilen kannst du feststellen, dass es hier bereits eine Diskrepanz zwischen den beiden Angaben in der Absender-Adresse der Phishing-Mail gibt: noreply@deutschebank.de wurde als Name des Absenders angegeben und dev@tectech.jp als versendende E-Mail-Adresse. Diese beiden Angaben passen nicht zusammen. Sie stellen eine offensichtliche Widersprüchlichkeit dar und sind ein Indiz dafür, dass es sich hier um eine Phishing-Mail handelt.

Tipp: “Alle Kopfzeilen im E-Mail-Programm anzeigen”

Stelle dein E-Mail-Programm so ein, dass alle Kopfzeilen angezeigt werden. Anhand der Kopfzeilen kannst du meist bereits auf den ersten Blick erkennen, dass es sich um eine betrügerische E-Mail handelt.

Auf dem Desktop PC lässt sich die Anzeige von Kopfzeilen sehr leicht und schnell einrichten: Meist unter „Ansicht“ -> „Alle Kopfzeilen anzeigen“. Auf dem Smartphone ist das ungleich schwieriger, denn nicht alle Apps bzw. Anbieter lassen das zu.

Erhältst du auf deinem Smartphone eine E-Mail von einer oder deiner Bank, solltest du sie sehr kritisch beäugen, sie nach Möglichkeit gar nicht erst öffnen und erst recht nicht auf die darin enthaltenen Links klicken. Halte ggf. Rücksprache mit deiner Bank, bevor du die E-Mail öffnest.

4

Die nicht personalisierte Anrede kann ein Indiz für eine Phishing-Mail sein, muss aber nicht

Wenn du in der Anrede nicht namentlich, also personalisiert angesprochen wirst, kann die fehlende Erwähnung des Namens als ein Merkmal für eine Phishing-Mail gedeutet werden.

Hier ist aber Vorsicht geboten, denn es gibt Phishing-Mails, in denen du sehr wohl persönlich und personalisiert angesprochen wirst. Eine Taktik, die beispielsweise beim Business-Email-Compromising (BEC) angewendet wird.

Gleichwohl gibt es auch offizielle, echte und behördliche Benachrichtigungs-E-Mails, die dich nicht personalisiert ansprechen. ELSTER-Benachrichtigungen (Steuerverwaltungen der Länder und des Bundes) beispielsweise reden dich meist mit “Sehr geehrte/r Nutzer/in,…” an.

5

Phishing-E-Mails enthalten oft böswillige Links, die dich zu einem Klick verleiten sollen. Nach einem Klick auf dem in dieser Phishing-Mail aufgeführten Link landest du – meist via mehrfacher, sekundenschnellen Weiterleitungen – auf einer sogenannten Phishing-Website.

Dabei handelt es sich oft um Seiten, die der originalen, offiziellen Website, in diesem Fall der Deutsche Bank AG, in nichts nachstehen. Diese nahezu perfekt gemachten Fälschungen führen die Opfer meist erfolgreich in die Irre.

Erkennen kannst du den böswilligen Link indem du mit der Maus ohne zu klicken über den Link fährst (hovern). Am unteren Rand deines E-Mail-Programms siehst du dann die tatsächliche Adresse (URL) des Links, siehe Abb. 1.

In unserem Beispiel der Deutsche Bank AG lautet die URL des verweisenden Links: https://kolkokla.s3.amazonaws.com/iksla.html. Wie du unschwer erkennen kannst, ist das keine URL, die der Deutsche Bank AG zugeordnet werden kann.

6

Phishing-Mails sind immer seltener durchsetzt von Rechtschreibefehlern

Was bis vor einigen Monaten noch Gültigkeit hatte, gilt heute nicht mehr. So war es fast ein eindeutiger Beweis für einen Phishing-Versuch, wenn der Text einer E-Mail holprig formuliert war und aus ein Sammelsurium von Rechtschreibe- und Grammatikfehlern bestand.

Heute nutzen Cyberkriminelle intelligente Softwarelösungen, Phishing-Services und beispielsweise auch ChatGPT, um echt wirkende, fehlerfreie Texte für Phishing-Mails zu generieren.

Wenn du dir den Text der Phishing-Mail in Abb. 1 durchliest, wirst du feststellen, dass kaum Fehler darin enthalten sind.

Phishing-Mails werden immer intelligenter und spitzfindiger

Um ihre Opfer auf’s Glatteis zu führen und zu betrügen, lassen sich Phishing-Akteure immer wieder neue Tricks und Maschen einfallen. Sie nutzen für ihre böswilligen Machenschaften intelligente Sotware-Lösungen, sie beauftragen Phishing-Gangs mitsamt der Serverstruktur und der Software, sie beschäftigen für ihre spitzfindigen Social-Engineering-Kampagnen auch immer öfter Psychologen, Rechtsanwälte und Schauspieler und sie machen sich die künstliche Intelligenz (KI) zunutze, damit ihre betrügerischen Kampagnen möglichst echt wirken.

Aber, in jeder Phishing-Mail befindet sich immer mindestens ein eindeutiger Hinweis auf eine betrügerische Absicht. Denn das perfekte Verbrechen gibt es in dieser Hinsicht glücklicherweise noch nicht ;-)

Im zweiten Teil meiner Beitragsreihe gehe ich ausführlich auf aktuelle, in Teilen sehr gut gemachte und ausgereifte Postbank-Phishing-Mails ein.

Wenn du Fragen zu diesem Beitrag oder zum Thema Phishing hast, freue ich mich auf einen Kommentar von dir :-)

Diese Beiträge zum Thema Phishing könnten für dich auch von Interesse sein: