Seit Internetnutzer nicht mehr freudig jeden beliebigen E-Mail-Anhang öffnen, finden Ganoven neue Wege, um an die ersehnten Klicks zu kommen. Neugier, Angst, Gewinnsucht – das sind die drei Knöpfe, auf die Online-Betrüger drücken. Psychologische Tricks nehmen zu und sind auch eine Gefahr für erfahrene Surfer.
Viele Menschen sind bereits Opfer von Online-Betrügern geworden, allein in Großbritannien waren es schon 2006 mehr als fünf Millionen. Die Dunkelziffer dürfte noch viel höher liegen. Die betroffenen Computernutzer wurden nervös, weil ihnen jemand per Mail mit einem Gerichtsverfahren drohte, und öffneten den Anhang. Sie hofften auf Gewinne und klickten auf Links. Sie wollten armen Bürgerkriegsflüchtlingen zu ihrem Recht verhelfen und meldeten sich bei Scammern[1]. Eine Studie des Anbieters von Sicherheitssoftware McAfee[2] konstatiert: Die Zahl der schlecht übersetzten Phishing[3]-Mails nimmt ab, die Zahl der psychologisch geschickten Social-Engineering-Attacken[4] nimmt zu.
Dabei gehen die Betrüger in zwei Schritten vor: "Die Zielperson muss durch die psychologische Verarbeitung der Informationen in der Mitteilung erstens glauben, dass der Inhalt seriös ist (zu diesem Zeitpunkt ist sie bereits getäuscht), und zweitens, dass sich die Reaktion auf die Mitteilung lohnen wird", erklärt Professor Clive Hollin[5] von der Universität Leicester in Großbritannien.
Chronik eines angekündigten Virus
Auch reine Neugier spielt oft eine große Rolle. Eine E-Mail, die etwas Interessantes, Geheimes oder Kurioses enthält, ist für viele Nutzer schier unwiderstehlich. Der Brüsseler IT-Sicherheitsexperte Didier Stevens konnte dies eindrucksvoll beweisen: Innerhalb von sechs Monaten klickten 409 Internetnutzer eine Google-Anzeige an[6], die versprach, man könne sich hier eine Virusinfektion herunterladen. Eine Erklärung könnte sein, dass die Nutzer neugierig drauf waren, zu sehen, was passiert oder weil sie die Botschaft schlicht falsch verstanden haben. Dies verdeutlicht, wie gewöhnliche Neugier oder oberflächliches Lesen von Online-Informationen zum Verhängnis werden kann - und die Nutzer zu potenziellen Opfern von Internetkriminellen macht. Stevens' Seite mit dem Namen "Drive-by Download" war selbstverständlich in Wirklichkeit harmlos.Es gibt aber auch andere Entwicklungen, die es den Betrügern zunehmend leichter machen, Nutzer für ihre Ziele zu gewinnen. Während viele bei E-Mails von Banken oder Kreditkarteninstituten bereits misstrauisch werden, ist es längst alltäglich, dass man mit automatisch generierten Empfehlungsmails Freunde auf interessante Inhalte aufmerksam macht. Auf Social-Networking-Seiten können die Betrüger bei gezielten Attacken sogar die E-Mail-Adressen von Bekannten rund um ihre Zielperson ausfindig machen, denen sie wahrscheinlich vertrauen wird. Mit Hilfe von SMTP-Spoofing[7], also gefälschter Absenderangaben in der E-Mail, ist das Platzieren eines Trojaners dann kein Problem mehr.
2006 war die Social-Networking-Plattform Myspace[8] sogar direkt das Medium für einen Phishing-Angriff. Myspace-Benutzer erhielten einen Link über ein Instant-Messaging-Programm. Der Link kam von einer Adresse in ihrer Kontaktliste und forderte sie dazu auf, auf den Link zu Myspace zu klicken, um sich dort Fotos anzusehen. Dieser führte jedoch auf eine gefälschte Myspace-Anmeldeseite. Nach Eingabe ihrer Daten wurden die Benutzer auf der echten Myspace-Seite eingeloggt. Gleichzeitig erhielt der Phisher die vollständigen Login-Daten und konnte so über 50.000 Datensätze "ernten"[9]. Auch ein Wurm, der sich über die Ansicht eines Videos ausbreitete, sammelte Ende 2006 über 30.000 Anmeldedaten.Christopher Wolf, Forscher an der Ruhr-Uni-Bochum[10], sieht hier einen Trend, dem eigentlich etwas ganz anderes zugrunde liegt: Immer mehr Länder kriminalisieren Spammer und Phisher, die Strafen und die Gefahr, gefasst zu werden, steigen. "Dadurch professionalisiert sich das System, Mitläufer werden weniger, aber auch die Gewinne steigen", so Wolf.
Die ersten Social-Engineering-Mails stammten von der mittlerweile legendären Nigeria-Connection[11]. Bei dieser Art von Vorschussbetrug wird das Opfer dazu bewegt, die Zahlung fiktiver Kosten zu übernehmen, zum Beispiel für einen Rechtsanwalt, um dann an große Gewinne zu kommen. Wer den Vorschuss zahlt, hört - im besten Fall - nie wieder etwas von den Betrügern. Besonders leichtgläubige Opfer reisten aber auch in das afrikanische Land[12] und wurden dort ausgeraubt oder sogar umgebracht.
Um für solche und ähnliche Attacken nicht nur Aufmerksamkeit, sondern auch Vertrauen zu generieren, nutzen bestimmte Würmer heute bereits die "Gesendet"-Ordner, mit Trojanern infizierten PCs, um Mails oder Teile von E-Mails zu recyceln. Unbedarfte Nutzer gehen grundsätzlich seltener davon aus, dass ein Mailabsender gefälscht ist, wenn die Inhalte der Mail vertraut erscheinen. Häufig sieht man auch, dass die Würmer den Abschnitt vor dem @-Zeichen als Anrede benutzen. Lautet die Mailadresse peter.mueller@firma.com, steht die korrekte Anrede "Hallo Peter Müller" am Anfang der Mail und erzeugt den Eindruck einer ungeschickt formulierten, aber persönlichen Mail. Der Trick fällt natürlich leicht auf, wenn die E-Mail mit "Hallo Hotline Firma" oder "Hallo Marketing Abteilung" beginnt. Doch auch wer all dies weiß, ist nicht vor Unheil gefeit: "Wir sehen häufig E-Mails, die für ein Unternehmen speziell gebaut wurden", erzählt Wolf. "Die angehängten Trojaner sind maßgeschneidert und werden vom Virenscanner nicht erkannt." Da die Nutzer dank der Vorrecherche der Betrüger und des Absenders oder gar Inhaltes auf die Seriosität der Mitteilung vertrauen, öffnen auch informierte Internet-Nutzer die Mails häufig ohne jeden Verdacht.
Wolf sieht hier bereits eine "Vertrauenskrise" heraufdämmern. Wer eine Mail von Fremden bekomme, werde in Zukunft grundsätzlich skeptischer sein. Er kennt es aus eigener Erfahrung: "Ich bekam letztens eine Anfrage aus Tunesien, dass jemand auf unsere Konferenz wolle und hielt das für Spam. Erst als wir per Fax kommunizierten, vertraute ich dem Absender – die E-Mail alleine reichte mir nicht mehr."
Weil die Nutzer auf Mails von angeblichen Freunden – "Schau Dir mal dieses Bild an!" oder "Hier hat Peter auch eingekauft!" – nicht reagieren, erschallt immer häufiger die Stimme der Autorität. Menschen neigen dazu, das zu tun, was sie tun sollen. Auch wenn die Autoritätsperson selbst nicht anwesend ist, reagieren viele wie gewünscht. Schafft es der Mailer, von seiner Seriosität zu überzeugen, so kann er mit drohenden Gerichtsverfahren, Sicherheitslücken oder angeblichen Patches den Nutzer zu einer vorschnellen Reaktion bringen. Das Aufbauen einer externen Drohkulisse führt zu unüberlegten Handlungen und damit häufig zum Klick auf den Trojaner."Die Betrüger versuchen, den Druck auf die Nutzer zu erhöhen", konstatiert auch Frank Ackermann, Rechtsanwalt Fachbereich Content, zuständig für die Spam-Beschwerdestelle des Eco-Verbandes[13]. Er konstatiert zudem einen Trend hin zu gut übersetzten, deutschsprachigen E-Mails. "Wir sehen eine Zunahme von fast 100 Prozent", berichtet er aus seiner täglichen Erfahrung mit Beschwerden über Betrugsmails, "Anfang des Jahres waren es etwa 1400 deutschsprachige Spam-Mails pro Monat, jetzt sind es etwa 2600." Allerdings sind dies keine repräsentativen Zahlen, da bei der Beschwerdestelle vor allem die Mails gemeldet werden, über die sich Profis aufregen. Dabei wäre das ein erster Schritt zur Bekämpfung der Spam-Flut. Die Eco-Mitarbeiter pflegen eine Datenbank mit den registrierten Spam-Mails und führen eine Statistik. Kommt es für einen Nutzer zu Rechtsfolgen aufgrund von Spam, können die Behörden die Eco-Daten als Beweismaterial nutzen.
Dennoch gibt es auch Grund zur Entwarnung, denn weiterhin ist der größte Anteil an Spam[14]- und Scam[1]-Mails nach leicht erkennbaren Schemata aufgebaut und eher auf die breite Masse zugeschnitten als auf einzelne Opfer.
Guido Schryen vom Lehrstuhl für Wirtschaftsinformatik und Operations Research an der RWTH Aachen[15] hat mit seinem Team gezielt E-Mail-Adressen in Special-Interest-Foren gestreut und die auf den Accounts einlaufenden Mails analysiert. Dabei zeigte sich, dass keinerlei kontextsensitiver Spam kam, die Betrüger also die Herkunft der E-Mail-Adressen in ihre Aussendestrategie nicht mit einbeziehen. "Derzeit zeigt sich kein Zusammenhang zwischen dem Ort, an dem man seine Mail-Adresse hinterlässt und der Werbung, die man erhält", so Schryen.
Nach seiner Erfahrung drücken Scammer als Virenversender häufig auf andere Knöpfe. Beim Virus oder Trojaner geht es in erster Linie darum, dass der Nutzer den Anhang öffnet, damit das Schadprogramm aktiv wird. Dies geschieht in einer Kurzschlussreaktion und die erzeugen die Betrüger meistens über Vertrauen, zum Beispiel die angebliche Mail einer Freundin, die vorgibt, ein spannendes Foto zu schicken. Für Phishing-Mails setzen die Kriminellen auf Drohkulissen oder Fürsorge: Die Bank warnt angeblich vor Betrügern, das Kreditkarteninstitut muss seine Sicherheitssoftware aktualisieren, ein Klick auf den gefälschten Link ist alles, was der Phisher will. Doch Scammer sind darauf angewiesen, dass die Nutzer aktiv reagieren. Schryen persönlich setzt daher darauf, diese Leute ihrerseits mit unsinnigen Antworten zu beschäftigen: "Wenn die Scammer am Tag 1000 Mails bekommen, die sie lesen müssen, ist das Arbeit", argumentiert er, "Wer unsinnige Daten zurücksendet, blockiert die Spammer." Dass Mail-Adressen von denen eine Antwort ausgeht, die also bestätigt sind, extensiver genutzt würden, sei eine unbestätigte Hypothese. Im Gegenteil: Schryen geht davon aus, dass ein Spammer oder Scammer nach geplatztem Geschäft die Mail-Adresse eher genervt aus seiner Datenbank entfernt.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/