Die Phisher, also böse Menschen™, die mit fingierten Mails Leute dazu bringen wollen, sicherheitsrelevante Kontoinformationen preiszugeben, versuchen es immer wieder. Und jedes Mal werden die Methoden ausgeklügelter und idiotensicherer.
Konnte man vor Jahresfrist eine Phishing-Mail noch problemlos daran erkennen, dass der Text scheinbar aus irgendeiner nichtromanischen Sprache maschinell ins Deutsche übersetzt worden war, oder aus der Feder von Osteuropäern stammte, die Deutsch vor zwanzig Jahren mal für einen kurzen Moment in der Schule gelernt hatten, sind mir mittlerweile schon entsprechende Mails untergekommen, die in der Tat mit (halbwegs) perfektem Deutsch daher kamen.
Trotzdem hatten die Betrügereien noch (aus Sicht der dunklen Seite der Macht) ein großes Manko: Man konnte sie allein schon dadurch innert weniger Sekunden entlarven, dass relativ unverblümt um die Eingabe mehrerer Transaktionsnummern (TANs) auf einer Webseite gebeten wurde, für die der passende Browserlink sinnigerweise gleich mitgeliefert wurde.
Heute durfte ich auf Heise Online lesen, dass es noch ausgefuchster geht. Den vorläufigen Höhepunkt bildet eine derzeit laufende Aktion, die sich vornehmlich gegen Benutzer des Online-Zahlungssystems Paypal richtet, das in der Tat vor kurzem eine Banklizenz erhielt, zu Ebay gehört und daher auch vorzugsweise dort eingesetzt beziehungsweise genutzt wird.
In der E-Mail erläutern die Schädlingsbastler, dass Paypal jetzt eine Banklizenz erhalten hätte. Um die Sicherheit des Online-Bankings mit Paypal zu erhöhen, habe man daher die Sicherung von Transaktionen mit TANs eingeführt. Um solche TANs zu erhalten, müsse man den TAN-Generator aus dem Anhang ausführen, die Aktivierung der Software erfolge im Anschluss bei der nächsten Paypal-Anmeldung. Die E-Mail enthält eine recht detaillierte Anleitung, wie das Programm zu bedienen sei.
Ja, ich muss zugeben, das hat was. Eine derartige Mail habe ich zwar noch nicht erhalten, aber sollte der Text sogar in korrektem Deutsch verfasst sein, dann ist durchaus ein gewisses Gefährdungspotential gegeben – vor allem, wenn ich daran denke, wieviele Merkbefreite auf Ebay unterwegs sind.
Als besonderen Serice darum von mir jetzt der immer noch allgemein gültige Tipp, wie man sich wirksam vor derartigen Betrügereien schützen kann. Ist nicht einmal viel, zwei goldene Regeln reichen:
- Bei geplanten Online-Aktivitäten, die mit Geld zu tun haben (Homebanking, Online-Käufe, Spenden) niemals einem Link in einer Mail folgen, um auf die entsprechende Seite der Bank, des Shops oder des Spendenempfängers zu kommen. Zu den genutzten Diensten, das gilt erst recht und insbesondere für die eigene Bank, sollte man, wenn man schon schreibfaul ist, ein entsprechendes Lesezeichen in seinem Browser nutzen. (Universeller kann man diese Regel auch bei sonstigen Aktivitäten anwenden, bei denen die Ausweisung als Benutzer, z. B. durch ein Passwort, notwendig ist.)
- Unaufgefordert per Mail zugesandte Programme oder Dokumente niemals öffnen oder starten, schon gar nicht, wenn man den Absender nicht kennt, ohne sich nicht telefonisch oder auf anderweitig gesichertem Kommunikationsweg (verschlüsselte Mails beispielsweise) davon zu überzeugen, ob der Anhang wirklich vom angegebenen Absender stammt und keinen Schadcode enthält.
Mit entsprechend gesundem Menschenverstand sollte man aber schon von ganz alleine auf diese einfachen Verhaltensmaßregeln kommen. Leider hat den in diesem Land nicht jeder, wie man auch an diversen prominenten Beispielen immer wieder sehen kann.
