Jump to content
  • Willkommen

    Willkommen auf Teramed. Bitte melde Dich an, um an der Community teilzunehmen.

  • Wie schütze ich mich gegen Spam und Phishing?


    Christina Czeschik

    50% aller E-Mails sind Spam

    Das geht aus einer Studie von Symantec hervor. Diese hat ebenso ermittelt, dass jeder berufliche E-Mail-Nutzer pro Tag im Durchschnitt 42 E-Mails erhält. Im Schnitt 21 davon sind Spam: Es geht also um „Business Opportunities“ in Nigeria, die Sie nicht interessieren, oder um verschreibungspflichtige Medikamente aus dem Ausland, nach denen Sie nie gefragt haben.

    Schon seit E-Mail zum allgemeinen Kommunikationsmittel geworden ist, wird über das Ärgernis Spam geklagt. Fest steht aber: Wenn eine Spam-E-Mail nicht auch gelegentlich einmal den gewünschten Erfolg zeigen würde, dann gäbe es das Phänomen nicht. Eine Studie der UC San Diego hat gezeigt, dass die Betreiber einen bestimmten Spam-Netzwerks mit ihrem Tun 7000 US-Dollar pro Tag einnehmen. Die Chefs der Operation nehmen dabei mit Hilfe eines Virus fremde Computer ein, die sie dann anweisen, in ihrem Auftrag die Spam-Mails zu versenden. Dies bezeichnet man auch als Botnetz.

    Ein solches Botnetz kann viele Hunderte von Millionen Spam-Nachrichten pro Tag verschicken. Die Forscher stellten in „ihrem“ Botnetz fest, dass 28 einzelne Mails von insgesamt 350 Millionen tatsächlich zu einem Kauf – beispielsweise von Viagra oder Haarwuchsmittel – führten. Diese geringen Erfolgsquoten genügen, um das Spam-Business profitabel zu halten.

    Spam nicht nur auf E-Mail beschränkt

    Tatsächlich ist E-Mail-Spam aber leicht rückläufig: Während Spam jetzt gerade 50% aller Nachrichten ausmacht, waren es 2013 noch 66%. Für diesen Rückgang gibt es vermutlich zwei Gründe: Spamfilter halten so viele der Spam-Mails ab, dass weniger Mails tatsächlich gelesen werden und noch weniger zu einem Kauf führen. Und die Spammer weichen zunehmend auf andere soziale Kanäle aus.

    Das Phänomen Spam hat mittlerweile nämlich praktisch jedes soziale Netzwerk – Facebook, WhatsApp, Twitter, Xing & Co. – erreicht. Die Urheber des Spam gehen dabei in der Regel so vor, dass sie die Konten echter Mitglieder übernehmen und den Spam an deren Freunde senden, aber auch sogenannte Wegwerf-Konten einrichten, die häufig gewechselt werden. Spammer nutzen hier auch die eingebauten Funktionen sozialer Netzwerke: So kann dort Spam beispielsweise auch speziell an Mitglieder bestimmter Gruppen oder mit bestimmten demographischen Merkmalen versandt werden.

    Wie funktioniert ein Spamfilter?

    Einer der Gründe, warum Spam sich von E-Mails in die sozialen Netzwerke verlagert: Die Spamfilter für E-Mail-Postfächer werden immer besser.

    Spamfilter sind Programme, die jede einzelne ankommende E-Mail begutachten. Dabei betrachten sie drei Bereiche:

    1. Ist der Absender ein bekannter Spammer? Oder hat er ein Postfach bei einem Provider, der viele Spammer beheimatet?
    2. Stehen im Header (Kopf) der E-Mail verdächtige Informationen?
    3. Liest sich der Textkörper der E-Mail wie eine Spam-Mail?

    Die erste Frage ist für ein Computerprogramm am leichtesten zu beantworten – es braucht hier nur seine Liste von verdächtigen Absendern durchzugehen, die sogenannte Blacklist. Zusätzlich vergeben manche Filter „Strafpunkte“ für E-Mails, die in der Empfängeradresse nur eine Mailadresse, aber keinen Namen stehen haben, also etwa robert.koch@gmail.com statt „Robert Koch“ robert.koch@gmail.com.

    Auch bei Punkt zwei – der Analyse des Headers – kommen Blacklists zum Einsatz. Der Header der E-Mail beinhaltet die Empfänger- und Absenderadressen, die Adresse, an die geantwortet werden soll, die IP-Adressen der Server, über die die E-Mail zugestellt wurde, und einiges mehr an technischen Informationen. Verdächtige Hinweise im Header: Ist die Reply-to-Adresse eine andere als die Absenderadresse? Das könnte darauf hindeuten, dass der Absender weder Antworten noch Fehlermeldungen erhalten will, weil er Tausende oder Millionen von E-Mails verschickt hat. Wird versucht, eine respektable Domain nachzuahmen, beispielsweise g00gle.com statt google.com oder gnnail.com statt gmail.com?

    Die Analyse des Textkörpers ist schließlich am schwierigsten – denn sogar Menschen können hier eine Spam- oder Phishing-E-Mail nicht immer eindeutig identifizieren. Gute Spamfilter greifen hier auf Machine Learning und künstliche Intelligenz zurück. Das heißt: Der Filter wird mit einer riesigen Menge an echten E-Mails trainiert. Zu jeder dieser Mails bekommt er mitgeteilt, ob es sich um eine Spam- oder um eine vertrauenswürdige E-Mail handelt. Er lernt so anhand statistischer Methoden von selbst, anhand welcher Merkmale er die beiden am besten unterscheiden kann. Dies können zum Beispiel bestimmte Schlüsselwörter sein („free“, „kostenlos“, „viagra“, „click here“, „sofortkredit“ und ähnliche), viele Links oder Links zu bekannten verdächtigen Webseiten, besonders bunte Farben im HTML oder – im Gegenteil – Text in Schriftgröße 0, den Spamversender manchmal in ihre Mails einbetten.

    Wie trainiere ich meinen Spamfilter?

    Aktuelle Spamfilter werden immer auf dem Mailserver aktiv, also bevor Du Deine E-Mails auf den Computer heruntergeladen hast. Sie können dazu entweder auf dem Server selbst installiert sein – viele E-Mail-Provider haben bereits gute Spamfilter laufen – oder in Deinem E-Mail-Client. Von Deinem Client aus stellt der Filter dann eine Verbindung zu Deinem E-Mail-Postfach auf dem Server her und tut dort seine Arbeit. So enthalten beispielsweise Windows Outlook und Mozilla Thunderbird schon Spamfilter, die nach einer gewissen Trainingsphase relativ zuverlässig arbeiten.

    Diese Trainingsphase solltest Du von Hand unterstützen: Jedes Mal, wenn eine unerkannte Spam-Nachricht in Deinem Postfach landet, solltest Du sie manuell als „Spam“ markieren. Dies hilft dem Spamfilter, in Zukunft noch zuverlässiger Spam und vertrauenswürdige E-Mails voneinander zu unterscheiden. Im bei Mozilla Thunderbird eingebauten Spamfilter funktioniert dies beispielsweise, indem Du das Flammensymbol der verdächtigen Nachricht durch einen Klick aktivierst (siehe Abbildung).

    Spam in Thunderbird markierenWichtig: Wenn Du einmal eine E-Mail fälschlicherweise als Spam markiert hast, mache dies auf jeden Fall wieder rückgängig – sonst lernt Dein Filter etwas Falsches, und Du erhöhst das Risiko, dass harmlose E-Mails im Spamfilter landen.

    Auch von der anderen Seite – der Seite der vertrauenswürdigen Absender und E-Mails – her kann man den Spamfilter trainieren. So werden in der Regel Adressen aus dem eigenen Adressbuch automatisch von der Spamfilterung ausgenommen. Man kann daneben auch vertrauenswürdige Domains definieren, so dass dann kein Absender von dieser Domain mehr dem Spamfilter zum Opfer fällt.

    Bei Spam gilt, ähnlich wie bei Computerviren: Zwischen Angreifern und Verteidigern läuft ein ständiges Katz-und-Maus-Spiel. Sobald die Entwickler von Spamfiltern eine zuverlässige Methode entdeckt haben, um Spam zu identifizieren, versuchen die Spamurheber, diese auszuhebeln. Da aber die neuesten Filter „live“ mitlernen, fällt dies den Spamabsendern immer schwerer.

    Spam öffnen oder nicht?

    Nicht jede Spam-E-Mail enthält nur lästige, aber harmlose Sonderangebote. Spam bringt dabei vor allem zwei Gefahrenquellen ins Spiel: Malware – also Viren, Würmer und Trojaner – und Phishing-Attacken.

    Malware kannst Du Dir schon durch das Öffnen eines E-Mail-Anhangs einfangen. Auch eine scheinbar harmlose Word-Datei kann sogenannte Makroviren beinhalten, die den Rechner schon beim Anklicken des Anhangs befallen. Ebenfalls streng verboten: Auf Links klicken. Hier kannst Du Dir sowohl einen Virus holen als auch Opfer einer Phishing-Attacke werden (mehr zum Phishing weiter unten).

    Im Prinzip kann sogar das Anschauen einer HTML-E-Mail zu einer Infektion führen. Moderne E-Mail-Clients deaktivieren aber aus diesem Grund in der Regel alle aktiven Inhalte von HTML-Mails, so dass der reine Textinhalt dann gefahrlos betrachtet werden kann.

    Wenn Du Dir nicht sicher bist, ob Dein E-Mail-Client dies tut, halte Dich besser an die Faustregel: Verdächtige E-Mails nicht öffnen.

    Wie erkenne ich eine Phishing-Mail?

    PhishingEine besonders gefährliche Art von Spam sind Phishing-Mails. Diese ähneln in Inhalt und Aufmachung offiziellen Mails, beispielsweise von Deinem Telekommunikationsanbieter oder Paketdienst. Typischerweise enthalten diese Mails einen Link, mit dem Du Dich bei der entsprechenden Firma einloggen sollst. Als „Motivation“ dient dabei beispielsweise eine gefälschte Rechnung, der zufolge Du einen hohen Betrag nachzahlen sollst oder erstattet bekommst. Dies ist der Köder, mit der der Täter "fischt".

    Auch gern genommen: Man fordert Dich auf, Dich zum Ändern Deines Passworts einzuloggen, weil man eine Sicherheitslücke in der Passwortdatenbank gefunden habe. Erst, wenn Du dieser Aufforderung nachkommst, gerät Dein Passwort wirklich in falsche Hände, nämlich in die der „Phisher“. Diese geben sich große Mühe, um passend zu den offiziell wirkenden Phishing-Mails auch scheinbar seriöse Webseiten zu gestalten, auf denen Du dann versuchen sollst, sich einzuloggen. Die Webseite wird jedoch nicht von Deinem Provider oder Deiner Bank betrieben, sondern von den Betrügern selbst: Das heißt, diese halten nach Deinem Login-Versuch Deine Benutzerdaten in den Händen.

    Man muss zugeben: Phishing-Mails werden immer ausgefeilter und sind oft nur noch schwer von offiziellen Mails zu unterscheiden. Mit einigen Merkmalen verraten sich die Täter jedoch immer wieder:

    - Grammatik- und Rechtschreibfehler. Auch wenn Deine Bankberaterin gelegentlich mal ein Komma vergisst – ein mit Rechtschreibfehlern gespicktes Schreiben oder eines, in dem „der“, „die“ und „das“ wild durcheinandergeworfen werden, stammt mit ziemlicher Sicherheit nicht von ihr.

    - Unspezifische Anrede. Verdächtig ist nicht nur „Sehr geehrte Damen und Herren“ oder „Sehr geehrte Kunden“, sondern auch, wenn der erste Teil Deiner E-Mail-Adresse als Anrede verwendet wird, beispielsweise: „Lieber rmueller“.

    - Drohungen und Eile. Wenn die Sperrung Deiner Kreditkarte droht, dann wird Deine Bank Dich anrufen statt eine pampige E-Mail zu schreiben (sonst solltest Du vielleicht die Bank wechseln). Wenn der Absender Zeitdruck vortäuscht, ist dies immer als verdächtig zu werten.

    - Fremde Empfängeradresse. Wenn Deine eigene Adresse gar nicht im Empfängerfeld steht, sondern eine Adresse, die Du nicht kennst, ist dies ebenfalls höchst verdächtig auf Phishing oder Spam im Allgemeinen.

    - Falsche Empfängeradresse. Du hast Dich bei Paypal mit Ihrer Web.de-Adresse registriert, die angebliche Mail von Paypal trifft aber bei Deiner T-Online-Adresse ein? Ebenfalls unseriös.

    - Kleine Abweichungen in URLs und E-Mail-Adressen. Phisher hoffen darauf, dass Du nur flüchtig liest und nicht bemerkst, dass Yahoo! natürlich nicht unter der URL yah00.com zu finden ist. Oft werden auch Absenderadressen bei großen Providern verwendet, zum Beispiel dhl-kundenservice@gmail.com – der echte DHL-Kundenservice hat natürlich eine Adresse bei der Domain @dhl.de. Das gilt auch für Webadressen: Große Unternehmen lassen nicht immer, aber fast immer, alle ihre Aktivitäten über eine einzige große Domain laufen. So ist der Kundenservice von Paypal unter www.paypal.com/de/selfhelp/contact/email zu finden, nicht unter www.paypal-kundenservice.de.

    Im Zweifel gilt: Folge den Anweisungen in der E-Mail nicht. Wenn Du sichergehen willst, ob Deine Bank Dir eine E-Mail geschrieben hat, dann ruf sie an oder schreibe eine E-Mail an eine Dir bekannte Adresse dort. Wenn Du versehentlich doch einen Link in einer Phishing-Mail angeklickt hast, gib auf keinen Fall Deine Daten ein. Wenn Du es doch getan hast, musst Du das dort verwendete Passwort in allen Deinen Accounts, in denen Du es auch benutzt, ändern. Auch aus diesem Grund wird empfohlen, nie das gleiche Passwort für mehr als ein Konto zu verwenden.

    Wie sind Deine Erfahrungen mit Spam und Phishing-Mails? Ist Deine Praxis schon einmal Ziel einer Phishing-Attacke geworden? Hast Du weitere Tipps zur digitalen Selbstverteidigung? Teile sie mit uns im Forum!

     

     




×