Solche Anfragen landen inzwischen fast täglich bei mir. 2017 hat sich die Menge der betrügerischen Mails sprunghaft erhöht. Den "normalen" Spam, der einfach nur nutzlose Produkte und halbseidene Dienstleistungen bewirbt, gibt es zwar immer noch, aber die richtig gefährlichen Sachen, die schwieriger zu identifizieren sind und den Ungeübten und seine unschuldigen Bekannten und Kollegen arg in die Bredouille bringen, die haben richtig zugenommen!

Dieses Thema hat zwei Hauptaspekte:

1. Schutzmaßnahmen - Was muss ich tun und wissen, damit mein Computer und ich nicht Opfer eines digitalen Angriffs werden? Darüber lesen Sie mehr in meinem separaten Artikel:
   Schutz vor digitalen Schädlingen - Verhaltensregeln.
2. Im nachfolgenden Artikel geht es hauptsächlich um Mail-Identitätsbetrug aus der Sicht eines Betroffenen.

Jeder Computerbenutzer sollte in der Lage sein, eine gefälschte von einer echten Mail zu unterscheiden. Meine Hoffnung ist, dass wir, nachdem Sie diesen Artikel gelesen haben, meinem Ideal ein wenig näher gekommen sind.

Knapp 60 % aller weltweit, täglich verschickten Mails sind Spam und Betrugsversuche. Siehe z.B. hier

Meine Leitsätze sind:

1. Das Internet ist böse!
2. Traue keiner Mail, jede zweite ist gefälscht!

Warum kann man keiner Mail trauen?

Die E-Mail wurde im Jahr 1971 erfunden. Da gab es das Internet noch nicht. Die meisten Computer waren unvernetzt und die paar, die es waren, vertrauten einander bedingungslos. Deswegen haben die Erfinder des Mailsystems nicht einen Gedanken an Identitätsprüfung, Authentifizierung oder gar Verschlüsselung verschwendet. Fast 50 Jahre später ist das Grundprinzip des Mailsystems immer noch das selbe. Die genannten Sicherheitsmerkmale fehlen von Grund auf. Man hat lediglich versucht, im Laufe der Jahre, das eine oder andere nachzubessern. Aber das sind zumeist nur halbherzige Anbauten, die mehr schlecht als recht funktionieren und solange nicht alle mitmachen, Krücken bleiben.

So kommt es, dass man eine Mail praktisch frei gestalten kann, bevor man sie wegschickt. Die Bestandteile sind:
• Absenderbezeichnung - z.B. "Max Mustermann"
• Absender-Mail-Adresse - z.B. <max.mustermann@example.com>
• Empfängerbezeichnung - z.B. "Erika Musterfrau"
• Empfänger-Mail-Adresse - z.B. <erika.musterfrau@example.com>
• Datum - z.B. 8.11.2017
  Übrigens datieren manche Spammer Ihre Mails auf einen Zeitpunkt in der Zukunft. Dadurch liegen diese bei Datumssortierung im Posteingang immer zuoberst und fallen maximal auf.
• Betreff - z.B. "Rechnung"
• Mailkörper (Text, Formatierungen, Links, Anlagen)

Beim Absenden einer Mail können die Inhalte dieser Komponenten beliebig ausgefüllt sein. Wenn ein Bösewicht einen eigenen Sendeserver betreibt, der selbst keine Plausibilitätsprüfungen vornimmt, kann er alles und jedes senden. Unrichtige Angaben bei Absender und Uhrzeit sind daher keinerlei Hindernis, müssen allerdings gnadenlos als Fälschung bezeichnet werden. Die übertragenden Server stören sich daran i.d.R. gar nicht. Und wenn nicht am Ende der Übertragungskette Ihr Empfangsserver oder notfalls Ihr Spamfilter in der Lage ist, die eine oder andere Fälschung auszusortieren, landet alles in Ihrem Posteingang. Rechnen Sie also damit, dass Sie nicht jeder Mail trauen konnen!

Weil diese Manipulationen so einfach sind, gibt es eine große Menge krimineller Gestalten, die sich das windige System zu Nutze machen. Die arbeiten inzwischen in Arbeitsteilung und haben sich in Branchen spezialisiert. Da gibt es Schädlingsprogrammierer, Botnetzbetreiber, Spamdienstleister, die zweitgrößte Branche sind Leute, die geheime Daten aller Art ausspähen. Darunter sind Kreditkartendaten ebenso wie Passwörter und Mail-Adressen. Weitere - s. hier.

Mit all dem wird in der Schattenwirtschaft "Darknet" viel Geld umgesetzt. Geld ist letztendlich immer die Triebfeder der Kriminellen. Deren Auftraggeber motivieren darüber hinaus z.B. politische Macht (Wahl- oder ideologische Manipulation), Hass (Auftragsmorde, Terror), Wissensbeschaffung (militärische und Industriespionage). Letztendlich brauchen Sie bloß in die Bibel zu schauen und sich all die dunklen Eigenschaften heraus suchen, die im Wesen aller Menschen stecken und von denen dort unverblümt berichtet wird. Nur ein kleines Beispiel hier.

Zurück zu Ihrem Posteingang: Jetzt sind Sie als Empfänger gefordert, zwischen Gut und Böse zu unterscheiden. In vielen Fällen ist das relativ einfach, wenn man weiß, wo man hinsehen muss. In machen Fällen muss man etwas tiefer unter die Haube gucken und der Mail an die Metadaten gehen. Dazu später mehr.

Szenario 1 - Ihre Mail-Adresse wird missbraucht

Das kann richtig ulkig sein, wenn Sie von sich selber eine gefälschte Mail erhalten. Z.B. in der Art:

Von: ihre@mailadresse.de <jemand1@example.com>
Gesendet: Montag, 6. November 2017 17:20
An: ihre@mailadresse.de
Betreff: Scan E - 364-D9265

Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.
Scan: http://opferserver.com/media/zoo/Scan-52995954679/

Mit freundlichen Grüßen,
ihre@mailadresse.de

Hiermit haben Sie sich selbst einen Trojaner geschickt. Nicht lachen - die Sache ist ernst! Denn, wenn Sie diese Mail erhalten haben, hat mit Sicherheit auch eine Menge unbekannter Leute und womöglich sogar einige Ihrer Firmenkollegen Mails nach dem selben Strickmuster erhalten. Und das ist insofern unangenehm, weil Ihre Mailadresse als Absenderbezeichnung drin steht und die Leute glauben, Sie hätten das tatsächlich geschickt. Eventuell bekommen Sie Beschwerdemails zurück oder Warnungen, dass Ihr Computer womöglich gehackt wurde.

Bei diesem Szenario gibt es drei Opfer:

1. Opfer: Der Betreiber von 'opferserver.com'

Auf diesem Internetserver haben die Kriminellen unter Ausnützung einer Sicherheitslücke eine Word- (oder Excel-) Datei hinterlegt. Diese Datei wurde zuvor mit einem trojanischen Computerschädling angereichert. Jemand der das Dokument herunter lädt, mit Word öffnet und dann die Makrosicherheit abschaltet, bekommt es mit dem Trojaner zu tun. Was der dann auf dem Computer anrichtet, kann vielfältig sein. Eine Möglichkeit ist, dass er Ihre Kontakte samt Mail-Adressen ausliest und damit Ihre Bekannten mit neuem Spam beschickt. Auf jeden Fall ist es etwas, was Sie auf keinen Fall wollen und auch niemandem wünschen.

2. Opfer: Die Person mit der Mail-Adresse jemand1@example.com

Der Mailserver dieser Person wurde gehackt und vom Angreifer zum massenhaften Senden der fraglichen Mails missbraucht. Oder der Bösewicht hat einen anderen, unsicheren Mailserver (meist im Ausland) dazu gebracht, die Fälschungen auf den Weg zu bringen. In beiden Fällen wurde die Identität des Opfers missbraucht.

3. Opfer: Sie selbst mit ihre@mailadresse.de

Eigentlich sind Sie in diesem Szenario technisch gesehen gar nicht beteiligt, denn der Ausdruck "ihre@mailadresse.de" hat, wie er hier benutzt wird, keine Funktion, sondern dient lediglich als optische Bezeichnung um dem Empfänger den Namen des Absenders anzuzeigen. Allerdings kann Sie das kaum trösten, denn leider ist diese "unbedeutende" Bezeichnung genau das, was der Empfänger zuerst sieht. Viele Mailprogramme verbergen den technischen Absender sogar bewusst. Ein ungeübter Laie wird also den Unterschied kaum bemerken und zuerst Sie als den Schuldigen benennen.

Wie gesagt, haben vielleicht auch Arbeitskollegen gezielt solche Mails "von ihnen" erhalten. D.h. die Bösewichte haben jetzt gelernt, Absender und Empfänger ihrer Schadmails so zu kombinieren, dass es so aussieht, als würden sich Kollegen innerhalb einer Firma diese Mails gegenseitig schicken. Das geht sehr leicht, indem man Absender und Empfänger sucht, die der gleichen Domain angehören (im Beispiel mailadresse.de). Das ist besonders perfide, weil die Mitarbeitenden dadurch viel weniger darauf achten, dass die Mails wirklich echt sind. Es herrscht ein gedankenloses Grundvertrauen, welches in den meisten Fällen ins Verderben führt. Wir müssen also ein weiteres Opfer hinzufügen:

4. Opfer: Die Empfänger der gefälschten Mails

Besonders gefährdet: Arbeitskollegen. Ein Beispiel aus der Praxis: Ein Mitarbeiter bekam eine Mail von seinem Chef, er möge bitte 34.356,47 Dollar nach USA überweisen, wegen des aktuellen Auftrags - möglichst schnell. Die Mail war gefälscht, was der Mitarbeiter aber nicht ausreichend überprüfte. Der Chef war für Nachfragen gerade nicht zu sprechen, weil in einer Sitzung. Eine geschäftliche Aktion mit USA war zufällig tatsächlich am Laufen, deswegen erkundigte sich der Mitarbeiter per Mail-Antwort nach der Kontonummer und bekam die, in der Meinung es sei der Chef, von dem Kriminellen, postwendend zugemailt. Das Geld wäre fast verloren gewesen, hätte es nicht bei der Bank ein Problem mit dem Fax nach Amerika gegeben...

Szenario 2 - Sie erhalten eine "seltsame" Mail von einem Bekannten, Kunden oder Kollegen

Das ist im Grunde das obige Szenario 1, nur aus dem anderen Blickwinkel. Jetzt ist jemand, den Sie kennen, der Absender (einKunde@mailadresse.de), Sie sind der Empfänger (ihre@mailadresse.de). Der Rest ist gleich:

Von: einKunde@mailadresse.de <jemand1@example.com>
Gesendet: Montag, 6. November 2017 17:21
An: ihre@mailadresse.de
Betreff: Scan E - 364-D9265

Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.
Scan: http://opferserver.com/media/zoo/Scan-52995954679/

Mit freundlichen Grüßen,
einKunde@mailadresse.de

Jetzt haben Sie wieder einen Trojaner erhalten. Da Sie Ihrem Kunden vertrauen, klicken Sie bedenkenlos... - Nein! Tun Sie das nicht!

Hinweis zwischendurch: Falls Sie an der Stelle immer noch zweifeln sollten, ob die Mail echt oder gefälscht ist, sollten Sie deren Metadaten analysieren. Wie das geht, finden Sie in diesem Artikel.

Die Opfer sind hier im Grunde die gleichen, nur Absender und Empfänger sind vertauscht.

Bitte beachten Sie hier wie dort vor allem, dass es einen Unterschied gibt, zwischen der Absender-Bezeichnung und der tatsächlichen, technischen Absenderadresse! Jeder Computerbenutzer sollte das unterscheiden können!

In dem obigen Beispiel ist einKunde@mailadresse.de lediglich die Bezeichnung, nur ein Text, ohne technische Funktion! Sie erkennen das daran, dass sie nicht in eckigen Klammern eingeschlossen ist, wie die technische Absenderadresse <jemand1@example.com>. Es kann übrigens sein, dass das Mailprogramm Ihrer Wahl zunächst nur die Bezeichnung anzeigt und Sie erst nach dem Einschalten einer entsprechenden Option auch den anderen Teil sehen können. Erst dann sind Sie in der Lage zu erkennen, ob beide Teile schlüssig zueinander passen. Stellen die beiden Parts unterschiedliche Identitäten dar, wie oben gezeigt, haben Sie ein Indiz für eine Fälschung. Schließlich ergibt es keinen Sinn, dass zwei unterschiedliche Absender angegeben sind.

Der Bösewicht selbst, entzieht sich jedes Mal aller Nachverfolgung, weil er aus der Ferne nur die Fäden zieht und die gekaperte Infrastrukur seiner Opfer fernsteuert, damit sie das tut, was hier vor unseren Augen passiert. Leider haben weder Sie noch Ihre IT-Abteilung darüber irgendeine Kontrolle - auch Ihr Kunde nicht. Sie können ihm das Übel zwar mitteilen, aber aufmuntern wird ihn das nicht, da er dagegen nichts machen kann.

Schuld an den Leckstellen sind die vielen Cloud-Dienste und per Trojaner gekaperte Privatrechner, von deren Adressbüchern die Adressen ausgelesen werden. Das funktioniert deshalb so gut, weil ein Großteil der Computeruser nicht gewillt ist, sich ein Bewusstsein für die digitalen Gefahren anzutrainieren. Leider werden die einfachsten Regeln ignoriert, z.B. ein Passwort niemals für mehrere Dienste gleichzeitig zu verwenden oder Links, wie die oben genannten, nicht anzuklicken. In der Folge gefährden diese nicht nur sich selbst, sondern vielmehr eine große Menge anderer, unschuldiger Opfer, indem sie Szenario 3 in Gang setzen, dem wir uns jetzt zuwenden.

Szenario 3 - Der GAU - Sie wurden gehackt

Der schlimmste aller anzunehmenden Fälle ist der, dass ein Bösewicht physischen Zugriff auf Ihre technische Infrastruktur erlangt hat. I.d.R. läuft das so, dass Sie auf einen Trojaner herein gefallen sind, dieser sich unbemerkt auf Ihrem Computer eingenistet hat und der Häcker aus der Ferne die Zugangsdaten zu Ihrem Mailkonto aus den Outlook-Konfigurationsdaten ausliest. Nebenbei nimmt er auch noch Ihr Adressbuch mit. Je nach dem, was er sonst noch findet, wird er sich nach weiteren Daten umsehen. Vielleicht haben Sie Passwörter oder Bank-Daten irgendwo unverschlüsselt in Excel oder Word-Dateien herum liegen. Vielleicht installiert er einen sog. "Keylogger" und schneidet im Verborgenen mit, was Sie tippen. Aus Ihren protokollierten Tastenanschlägen extrahiert sich der Angreifer z.B. Ihr Bank-Passwort.

Als nächstes benutzt er Ihr Mail-Passwort, um von Ihrem Mail-Server aus massenhaft Spam bzw. Computerschädlinge zu versenden. Als Empfänger wird er Ihre eigenen Kontakte beglücken, denn die hat er sich ja unter den Nagel gerissen. Anschließend wird er versuchen, Ihre Konten bei Paypal, Ebay, Amazon usw., zu übernehmen, indem er die Passwort-Vergessen-Funktion nutzt. Zugang zum Maileingang hat er ja.

Das nur nebenbei bemerkt. Bleiben wir beim Spam:

Sie werden zunächst nichts bemerken, bis die ersten Fehlerrückläufer kommen. Sie erhalten dann schwer zu lesende, technisch aussehende Mails mit Betreffs, wie "Undelivered Mail Returned to Sender" o.ä. Darin werden Sie als Absender genannt und eine ihnen mehr oder weniger unbekannte Empfängeradresse, die nicht existiert.

Von: Mail Delivery System <MAILER-DAEMON@irgend.ein.mailserver.example.com>
Gesendet: Montag, 6. November 2017 17:22
An: ihre@mailadresse.de
Betreff:Undelivered Mail Returned to Sender

----- The following addresses had permanent fatal errors -----
    (reason: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table)

----- Transcript of session follows -----
... while talking to irgend.ein.mailserver.example.com.:
>>> DATA
<<< 550 5.1.1 <irgendjemand@irgendwo.example.com>: Recipient address rejected: User unknown in virtual alias table
550 5.1.1 <irgendjemand@irgendwo.example.com>... User unknown
<<< 554 5.5.1 Error: no valid recipients

Sie bekommen diese Fehlermeldungen, weil der Angreifer Ihre Mailadresse als technischen Absender verwendet und massenhaft Spam in alle Welt verschickt. Da ein Bruchteil der verwendeten Empfänger nicht (mehr) existiert, erhalten Sie die entsprechenden Unzustellbarkeitsmeldungen der diversen Mail-Systeme. Meist ist die ursprüngliche Spammail mit angehängt, so dass man sich ein Bild machen kann, was der Identitätsfälscher verteilt.

Was kann ich dagegen tun?

Sobald Sie in Szenario 1 oder 2 verwickelt wurden, können Sie selbst leider nichts tun, denn alle Aktionen, die ablaufen, sind vollständig von kriminellen Subjekten gesteuert. Sie haben keinerlei Kontrolle. Es würde nicht mal etwas nützen, wenn Sie Ihre Mailadresse komplett löschen würden. Denn das würde die eigentliche Ursache nicht beseitigen. Der Spammer benutzt die Adresse ja nur als Fälschung. Ob die echt existiert oder nicht, spielt technisch keine Rolle.

Bei Szenario 3 sollten Sie allerdings schnellstens handeln, denn hier ist Gefahr im Verzug!

Sie sollten unverzüglich Ihr Mail-Passwort ändern oder Ihr Postfach vorübergehend sperren lassen, bis Sie das Passwort geändert haben. Falls Sie das Passwort so oder ähnlich auch woanders verwenden, müssen Sie auch dort überall schnellstens unterschiedliche Passwörter einsetzen. Nehmen Sie dies zum Anlass, nie mehr ein Passwort mehrmals zu verwenden.

An dieser Stelle rate ich immer: Verwenden Sie einen Passwortsafe! Damit gehören alle Passwortprobleme der Vergangenheit an. Ein Passwortsafe

• generiert ihnen immer neue Passwörter, ohne dass Sie sich den Kopf zerbrechen müssen,
• speichert Passwörter verschlüsselt, so dass ein Angreifer sie nicht auslesen kann,
• tippt Passwörter bei Logins automatisch ein, so dass Sie sie weder merken, noch tippen müssen,
• hat weitere Vorteile, merkt sich z.B. Internetadressen oder weitere Infos, wie Kundennummern usw.
In einem zukünfigen Artikel werde ich die Vorteile und Nutzung von Passwortsafes ausführlicher darstellen.

Vorbeugen ist besser

Man kann vieles tun bzw. unterlassen, damit einem die oben genannten Unfälle nicht widerfahren. Allerdings würde ich sagen, dass es unmöglich ist, sich selbst 100-%-ig vor Idenditätsdiebstahl zu schützen. Dazu ist unsere Welt zu vernetzt und es gibt zu viele externe Schwachstellen, auf die man keinen Einfluss hat.

Die folgenden Grundregeln halte ich für essenziell:

• PC sauber halten (achten auf PUPse und Blähware - s. meinen Artikel)
• Schutz vor Trojanern (gesunden Menschenverstand anwenden, Downloads meiden, Antivirus, Scriptblocker usw.)
• Datensparsamkeit (nichts weiter geben, was nicht unbedingt nötig ist - nachdenken!)
• Datenhygiene - Nicht ohne Sinn und Verstand im Internet rum kurven und klicken. Nur seriöse, empfohlene Downloads ansteuern. Portale, wie www.chip.de/downloads vermeiden, hier werden Nutzdaten mit sog. Downloadern verpackt, die weitere unerwünschte Programme transportieren und unerlaubt installieren = PUPse - s.o.
• Starke Passwörter verwenden.
• Passwörter nicht mehrmals verwenden.
• Passwörter verschlüsseln (Passwortsafe).
• Alle Kontobewegungen aufmerksamst verfolgen.
• Vielleicht hilft es auch, bei Lieferanten nur per Vorkasse zu bezahlen, damit dort nicht die Kontonummer oder Kreditkarte gespeichert ist oder vielleicht gar ein SEPA-Lastschriftmandat als "Persilschein" vorliegt.

Über alles, was darüber hinaus geht, verfügen wir als Nutzer leider nicht über genügend Kontrolle. Wenn man z.B. bei Amazon Kunde ist und dort ein Bankkonto zum Abbuchen hinterlegt hat, kann man sich vorstellen: Die Datenbank von Amazon wird angegriffen und Kriminelle erbeuten hunderttausende von Kundendaten incl. Kontonummern, darunter auch die eigene. Was will man dagegen machen? Im besten Fall erfährt man von dem Zwischenfall und ändert schnell sein Amazon-Passwort, zieht vielleicht noch vorsichtshalber das SEPA-Mandat zurück. Dann hat man vielleicht Glück gehabt. Aber im anderen Fall bestellen die Bösen unter meinem Namen einen Goldbarren, zahlen ihn mit meinem SEPA-Mandat, lassen ihn nach Hintertupfing schicken und hauen damit auf nimmerwiedersehen ab. Dann bleiben nur noch die Rechtsmittel (Strafanzeige, bei Mahnverfahren vor Gericht Widerspruch einlegen, Anwalt nehmen).

Am Ende ist es wie früher: Wer zu Dumm, zu Gutgläubig, zu Unvorsichtig oder zu Unaufmerksam war, bot Kriminellen immer schon eine gute Angriffsfläche für Hauseinbrüche, Nepper, Schlepper, Bauernfänger, Hausierer, Enkeltricks, Trickdiebstahl, Telefontricks usw. Gegen den gut informierten Aufmerksamen, der alle Vorsichtsmaßnahmen kennt und befolgt, haben es die Kriminellen damals, wie heute schwerer und wenden sich dann lieber leichteren Opfern zu. Auch bei ihnen gilt das Prinzip des geringsten Widerstands.

Bitte lesen Sie auch mein beiden anderen Artikel zu diesem Thema:

• Schutz vor digitalen Schädlingen - Verhaltensregeln
• Der klassische Phishing-Betrugsversuch

8. 11. 2017