Dokumentation

Identitätsdiebstahl geht ratzfatz.

© fotolia.com

23.05.2013 (bz) – Immobilienscout24 warnt auf seiner Website: „Unter Phishing werden Versuche verstanden, über gefälschte E-Mails oder Kurznachrichten an Daten eines Internet-Nutzers zu gelangen.“ Ein Redakteur von Sicherheits-Berater direkt hat eine solche Mail erhalten. Sie führt nach San Diego statt zu Immobilienscout ...

 

Phishingabzocke kann jeden treffen. 

Ob Immobilienscout24 oder irgendein anderes Unternehmen, bei dem man sich als Kunde mit E-Mail-Anschrift und Passwort im Web registriert: Die Gefahr, Phishingopfer zu werden, ist groß. Und die Folge kann dramatisch sein, nämlich der Identitätsklau: Wem es gelingt, in den Besitz meiner Mail-Adresse und meines Passwortes zu gelangen, der kann in meinem Namen Geschäfte machen oder andere Kunden betrügen. Er kann auf meine hinterlegten Kontaktdaten zugreifen und im schlimmsten Fall auch meine Bankverbindung ausspähen. Das funktioniert denkbar einfach, hier am Beispiel des Immobilienportals Immoscout24 einmal dargestellt: 

Der Betrüger besucht www.immobilienscout.de als vermeintlich Wohnungssuchender. Er ruft Wohnungsangebote auf und kontaktet den Wohnungsanbieter, dessen Kontaktdaten (Anschrift, Telefon) in aller Regel bereits neben dem Wohnungsangebot abgebildet sind. Für den Phishingversuch benötigt er jedoch dessen Mail-Anschrift. Ist diese nicht ohnehin veröffentlicht, tritt er über ein vom Websitebetreiber bereitgestelltes Formular mit dem Betrugsopfer in Kontakt: 

Muster Kontaktformular

Als Nachrichtenübermittler richtet sich dann nicht der Betrüger, sondern der Websitebetreiber an das Opfer: 

Beispiel Kontaktanfrage 

Bei dem Anschreiben handelt es sich also noch nicht einmal um eine Fälschung. Wie gesagt, der Betrüger nutzt das Original-Kontaktformular des Websitebetreibers, hier Immoscout24, um mit dem Opfer in Kontakt zu treten. 

Immoscout24 verfügt offenbar nicht über einen Filter, der automatisiert verfasste und (verdächtig holprig) übersetzte Texte erkennt und prüft:

Anschreibentext

Die Verantwortung liegt somit beim registrierten Wohnungsanbieter von Immoscout: Verwendet ein vermeintlicher Wohnungsinteressent einen derartigen Sprachmüll, sollte man sofort extrem kritisch sein! Es steht auch nirgendwo geschrieben, dass man aus lauter Neugier jedes Angebot wahrnehmen muss. In diesem Fall lautet das Angebot ja: Wenn Du auf diesen Link hier klickst, wird Deine Neugier, wer da Unfug mit Deinem Wohnungsfoto treibt, befriedigt. Der Redakteur von Sicherheits-Berater direkt hat sich den Link zum Glück zunächst einmal etwas genauer angesehen: Dass ein seriöses Unternehmen wie Immobilienscout24 in seiner Web-Adresse das Wort „miieten“ verwendet, konnte er sich kaum vorstellen. Der IT-Leiter des Sicherheits-Berater ging der Sache daraufhin ebenfalls nach und öffnete zunächst den ersten Teil des verdächtigen Links. immobilienscout24de.miieten-login.com führt keineswegs zu Immobilienscout, sondern auf einen sogenannten Container mit drei Ordnern, deren Inhalte auf den Providerservern des Betrügers gehostet werden:  

Ein Klick auf den Ordner „immo/“ zeigt dann, wohin der Link in der Mail geführt hätte: 

Bis dahin ist noch nichts Gefährliches passiert - das Opfer hat noch eine Chance, abzuspringen, wenn es seine E-Mail-Anschrift und das Passwort nicht eingibt. Aber die Chance ist schon relativ gering: Die Seite enthält überwiegend Bausteine, die von der Original Immoscout-Seite einfach rüberkopiert wurden, um sich das Vertrauen des Opfers zu erschleichen. Auch die erste Fußzeile unten (Kontakt – Hilfe usw.) ist richtig verlinkt und führt auf die Original Immoscout-Seiten. Aber der doppelte Eintrag „Impressum“ deutet eher auf Betrugsschlamperei als auf einen Fehler von Immoscout hin. Auch an der Zeile darunter, so der IT-Leiter, könne man die Seite als Fake enttarnen: Auf der Original Immoscout-Seite sei eine andere Handelsregisternummer abgebildet. Natürlich sei auch die IP-Adresse eine andere als die des tatsächlichen Anbieters Immobilienscout24. Na ja, nachher ist man immer schlauer! 

Kurzum, gibt das Phishingopfer E-Mail-Adresse und Passwort ein und klickt auf „Anmelden“, werden diese Informationen per Java Script  ausgelesen und an den Betrüger gesandt. Dessen Betreiber sitzt, wie sich mithilfe der IP-Adresse ermitteln lässt, in San Diego.     

Der Versuch, bei einer zweifelhaften Mail durch Anruf beim Anbieter, in diesem Fall Immobilienscout24, Sicherheit zu erlangen, führt übrigens auch nicht zwingend weiter. Der telefonische Hinweis unseres IT-Leiters bei Immoscout führte jedenfalls nur zu ausgeprägtem Desinteresse. Offenbar genügt es dem Unternehmen, auf seiner Website vor Phisingversuchen zu warnen. Selbst die Ankündigung, dass wir den Phisingversuch im Sicherheits-Berater veröffentlichen werden, ließ die Dame am Telefon kalt. Sei´s drum! 

Fazit:  

Weiterhin ist bei ALLEN Mails Vorsicht geboten. Selbst (echte und virtuelle) Freunde, Bekannte oder seriöse Internetanbieter können Opfer von Phishing geworden sein, so dass deren Konto unwissentlich missbraucht wird.

 

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)