Phishing!


Am Anfang schuf Gott das Internet und alles war gut. Und dann schuf der Mensch stattdessen AOL und schon begann die Sache aus dem Ruder zu laufen!

Zum Beispiel, indem „Phishing“ erfunden wurde. Diese hinterfotzige Art, wie manche versuchen uns per Email von unseren Kröten zu trennen.

Heute geht es um die Geschichte des Phishings und um einige typische Kennzeichen von Phishing-Mails. Obendrauf noch eine relativ sichere Methode, um sich selber zu schützen.

Und nicht zuletzt der Vortrag eines ergreifenden Werks der literarischen Gattung Scammer-Lyrik. Eine unterschätzte Kunstform!


Download der Episode hier.
Musik: „I Go Chop Your Dollar“ von Nkem Owoh / Standard-YouTube-Lizenz


Skript zur Sendung

Das ist jetzt vielleicht phonetisch nicht so klar rübergekommen. Mit Phishing meine ich nicht Fishing, sondern Phishing. Mit P und H. Mit „FFF“. Pee Äitsch, if you understand me, nochhert.

Phishing ist die Art von Nachricht, die einen anstiften will, etwas Dummes zu tun. Wie zum Beispiel jemanden seine Kreditkartennummer, das Ablaufdatum und den Security-Code zu geben.

Obwohl man eigentlich in Nigeria niemanden persönlich kennt, der dringend Geld brauchte.

Und tut mir leid, wenn ihr zufällig Nigerianer seid und hier zuhört: Das ist natürlich nur ein dummes Stereotyp. Klar…

Der klassische Betrugsversuch, den man 419-Scam nennt, stammt halt aus Nigeria. Man kriegt superviel Kohle, wenn man einer Prinzessin aus einer Notlage hilft. Der Haken ist, dass dabei halt Bearbeitungsgebühren anfallen. Die man aus dringenden juristischen Gründen vorschießen muss.

Wenn ich aus meiner Mailbox vorlesen darf:

Mein Vorname ist Grace.
Mein Name ist Kayemba.
Mein Alt ist 54Jahre.
Mein Familiestand: Witwe und vier Kinder aber meine Ehemann und drei sind waehrend dem Rebellen-Angriff gestorben bei uns in Nord-Kivu in DRC-Kongo
Mein Krankstand ist/ ich bin krank und leide von Magenkrebs
Erbschaft/ Usd14,5millionen von meinem Ehemann geerbt. mein verstorbenne Ehemann war ein Diamanten-Haendler.
Nach der Beerdigung meiner Ehemann und drei kinder habe ich und mein lebendigen Sohn entdeckt dass, mein verstorbenen Ehemann die Summe von USD14,5millionen bei einer Finanzfirma zur sichere Aufbewahrung deponiert hat.
Nun wegen der gegenwaertige politische Lage bei uns bitte wir Sie uns bei der Investition in Ihrem zu unterstuetzen.
Ihre Beloehnung ist 20%
Wir werden Ihnen mehr Einzelhieten mitteilen wenn Sie uns dabei helfen koennen!
Mit freundlichen Gruessen
Frau Grace Kayemba

Tja, die Grace. Schreibt aus dem Kongo, möchte man meinen. Die Email-Adresse zeigt aber auf eine japanische Domain. Und die ISP dann wiederum auf einen amerikanischen Absender.

Und überhaupt: Diese Art von Betrug ist sehr alt. Schon für den Explikator habe ich einst den – meiner Meinung nach – allerersten Fall eines solchen Nigeria-Betrugs ausgegraben. Und der stammt aus dem Jahr 1872. Und die Nigerianer in diesem Fall waren Spanier.

Wirklich, liebe nigerianische Hörende. Ich meine das nicht so. Mittlerweile kommt 60% solcher Aufforderungen aus den USA, 16% aus dem United Kingdom und nur noch 6% aus Nigeria. Dann geht die Liste weiter mit Elfenbeinküste, Togo, Südafrika, den Niederlanden und – wohl aus hundertfünfzig Jahren Tradition: Spanien.

Phishing ist aber natürlich etwas ein bisschen anderes. Und eigentlich soll es ja heute um Phishing gehen. Und, immer daran denken, das mit dem PH vorneweg.

Clip: Cassette on

Was uns zu der Frage bringt: Was soll das eigentlich mit diesem PH? Hat das was mit dem Säurewert der Mail zu tun? Liegen die Wurzeln vielleicht in Philadelphia, Phoenix, Phillipsburg oder vielleicht in Phenedig?

Gut, dass ich mich gefragt habe! Denn das ist natürlich anders. Das PH hat sich das Wort von den Phreaks geliehen. Die Phreaks, die man auch mit PH schreibt. Das wiederum ist schon ein zusammen geklebtes Wort aus Phone (wie in Telephone) und Freak.

Denn die frühen Hacker hatten es zuerst einmal auf die Telefongesellschaften abgesehen. Denn Telefonieren war früher richtig teuer. Je Ausland, desto teuer. Wie schon in der Folge „Flag? What flag?“ beschrieben, konnte man von Irland nach Deutschland damals nicht schnell genug Münzen einwerfen in der Telefonzelle.

Und Phreaks bastelten kleine Apparate, die man an die Sprechmuschel hielt und die sich dann in der Pieps-Sprache mit dem Anbieter unterhielten. Übrigens war Steve Jobs so ein Phreak, der auch solche kleinen Apparate verscherbelte, bevor er mit Wozzie die Garage aufräumte.

Die meisten Phreaks konnten kostenlos telefonieren. Und diese Pieps-Sprache klang so:

Clip /handshake

Ja, die Älteren unter uns denken an Faxgeräte oder Modems. Das kommt der Wahrheit auch sehr nah. Sehr gut, mündliche Eins, setzen.

Das ist also das coole PH am Anfang. Es kommt nicht, wie viele behaupten von der Abkürzung „Password Harvesting“. Das wissen wir so genau, weil wir genau wissen, wann das Wort zum ersten Mal verwendet wurde.

Aber erledigen wir noch den zweiten Teil des Wortes. Denn die Buchstaben „ishing“ sind ja noch übrig. Und das kommt nicht von wishing, dishing, polishing, vanishing, punishing, cherishing – nein, das kommt wirklich vom englischen Wort für den Angelsport.

Denn das Phishing drückt sich in einer Nachricht an uns aus, die uns Angeln will. Ködern will.

Wobei die Analogie nicht so toll ist. Denn Angler setzen ja keine Köder ein, die dem Fisch androhen, ihn zu berauben, damit er dann in den Eimer springt, um sich auch berauben zu lassen…

So, jetzt aber wieder zurück zur Geschichte des Phishing. Denn die ist auch interessant. Denn die hat etwas mit folgender Company zu tun.

Clip /aol

Jaaaa… Der Boris. Drinnen ist er. Wie schön. Wie habe ich ihm doch damals gewünscht, dass der Bub seinen Spaß hat. Jetzt, wo er schon ‚mal drinnen ist. Im AOL.

America Online. Das sind die, deren CDs einen überall verfolgt haben. Wo man gar nicht wusste, wohin mit den ganzen AOL-CDs. Weihnachts-Baumschmuck? Vogelscheuche? Mobile draus bauen? Shuriken draus sägen? Frisbee für die Kinder?

Bei uns hat AOL ja nie richtig so satte Marktanteile gehabt. Aber in America war AOL richtig, richtig groß. Nicht umsonst konnten die sich aus der Portokasse schnell mal die Time/Warner-Group kaufen. Die wussten damals, in der ersten Internet-Bubble, gar nicht wohin mit ihren Dollars.

Und damals gab es auch noch das Usenet. Vereinfacht: Chatgroups. Diskussionsforen. Facebook-Gruppen. Wie man es auch nennen will. Die sahen ungefähr so aus, wie ICQ auch heute noch aussieht. Und eine davon, die trug den Namen „AOHell“.

Da sammelten sich Hacker und eben Phreaks. Solche, die nicht gerade Fanboys der Idee waren, dass das Internet jetzt AOL gehörte. Und die schrieben ein Programm, mit dem man Kreditkartennummern mit Benutzernamen von AOL zusammenbringen konnte.

Die Kreditkartennummern wurden einfach so lange per Zufall generiert, bis es – in einem von Millionen Fällen – dann passte. Und so konnten sie frisch und froh auf AOL schalten, wie sie wollten. Und das nannten sie „Phishing“.

Ein Wort mit Herstellungsdatum, es wurde genau am 2. Januar 1996 um elf Uhr nachts erfunden.

AOL setzte dem bald ein Riegel vor, denn natürlich benutzten nicht alle Hacker die Kreditkartennummern nur, um AOL zu spammen. Sondern sie verfolgten die naheliegende Idee, dass man damit auch Geld überweisen konnte. Zum Beispiel auf das eigene Konto.

Erst dann, aus Langeweile erfanden die Hacker das, was wir auch heute noch Phishing nennen. Sie benutzten den AOL Instant Messenger, gaben sich als AOL-Mitarbeiter aus und lockten unschuldie User auf eigene Webseiten. Wo sie dann wiederum die Kreditkartennummern abzockten.

Das war sehr viel ertragreicher als die erste Methode. Denn 1996 fielen die Menschen reihenweise auf diesen Betrug herein. Ist ja verständlich: War ja neu und unbekannt.

Und richtig bedrohlich wurde das für AOL, als die ihren Messenger als eigene Software auskoppelten. AIM hieß die dann. Und war ganz prima anonym per Internet als Plattform zu benutzen.

2001 waren dann die ersten Online-Bezahl-Plattformen an der Reihe. E-gold hieß eine dieser Online-Banken, die richtig in die Bredrouille kam. 2003 besaßen die Hacker bereits Hunderte von Websites, die so klangen, als wären sie von PayPal oder Ebay oder Amazon.

Man musste schon genau hinkucken. Schon vorstellbar, dass es PayPal ist, wenn die URL paypal.customerservice.com ist, oder? Tja, Pech gehabt – die URL gehörte bösen Hackern. Genau wie über hundert andere Subdomains wo vorne eine Firma stand und hinten „customerservice.com“

2004 gingen den Internet-Usern auf diese Art Milliarden von Kröten in allen möglichen Währungen flöten. Besonders die gerade neu ins Internet gekommenen Staaten des ehemaligen Warschauer Pakts wurden übel abgezogen.

Und seitdem haben wir eine Rüstungsspirale zwischen Hackern, formerly known as Phreaks. Die bauen mittlerweile offizielle Websiten wie die von PayPal so haarklein genau nach, dass es wirklich, wirklich schwer zu erkennen ist. Auf der anderen Seite gibt es Firewalls, Spam-Filter, Whitelists und Blacklists, Virenprogramme und diverse Entwurmungsmitteln für den Computer.

Fernsehen und schlechte Recherche tun ein übriges, so dass sich manchen Menschen schon gar nicht mehr trauen, Emails mit Anhängen überhaupt zu öffnen.

Das ist dann wieder zu viel des Guten. Vor allem, wenn es sich um eine Rechnung von uns handelt. Die kann man bedenkenlos sofort online überweisen.

Woran kann man ein Phishing-Mail erkennen? Gibt es da ein Patentrezept?
Nein. Aber es gibt schon ein paar Indizien…

Da wären:

Erstens: Ist die Deutsch nicht enough translatiert?

Aus meiner Inbox:
„Hallo Gast Visa Europa!
Ihre Kreditkarte wurde ausgesetzt, weil wir ein Problem gestellt auf Ihren Konto.
Wir haben zu bestimmen, dass jemand Ihre Karte ohne Erlauben verwendet haben.
Fur Ihre Schutz haben wir ihre Karte aufgehangen.“

Das ist irgendwie Lynchjustiz finde ich, aber ich klike trotzdem nicht „Hier“, weil in Klicken das „C“ fehlt.

Oft werdem Phishing-Mails einfach schlecht übersetzt. Von Online-Tools, die aber nicht Google Translate sind, weil das ja Spuren hinterlassen würde. Richtig schlechtes Deutsch ist ein guter Hinweis, die Mail umgehend zu löschen.

Auch wenn in der Mail noch fremdartige chinesische, kyrillische oder meinetwegen auch venusianische Zeichen enthalten sind, kann man das entsorgen. Machen deutsche Banken einfach nicht.

Darum ist zweitens:

Eine Mail, die komplett in einer anderen Sprache ist und von der Hausbank oder von PayPal oder Amazon zu kommen scheint, auch einfach zu ignorieren. Es gibt keine Mitarbeiter in Frankreich, die einem tschechischen User für das Konto bei seiner deutschen Bank eine Email in Englisch schreiben. Mag man zwar kurz annehmen, wenn man vom „International Promotion und Prizes Award Department in Clairvoyant, Südfrankreich“ angeschrieben wird. Aber: Passiert nicht.

Drittens: Fehlende Namen

Wenn man Phishing-Mails bekommt, in denen kein Name steht und keine Möglichkeit gezeigt wird, wie man diese Person anders erreichen kann außer per Mail, dann ist das auch Phishing. Auch wenn der Name in der Mail ein komplett anderer ist als die Mailadresse vermuten lässt: Entsorgen!

Viertens: Die Dringlichkeit

Aus meiner Mailbox:
„Betreff: Ihr Amazonkonto wurde gesperrt“
„Bitte helfen Sie uns dabei, Ihr Amazonkonto wieder in Ordnung zu bringen.
Bis dahin haben wir Ihren Zugang zu Ihrem Amazonkonto vorübergehend abgeschaltet.
Sie können Ihren Account wieder aktivieren, daszu ist eine kurte Verifizierung ihrer Daten erforderlich“

Je dringlicher eine Mail ist, desto aber hoppla. Amazon sperrt Konten in Wirklichkeit nicht einmal sofort, wenn die angegebene Kreditkarte überzogen ist. Dann bekommt man einen höflichen Hinweis. Habe ich, extra für euch, schon einmal ausprobiert.

Fünftens: Überhaupt. Die Dateneingabe

Es gehört nicht nur zum guten Ton, sondern es ist Gesetz. Banken – und PayPal ist eine versteckte Bank – dürfen weder per Mail noch per Telefon nach der PIN oder nach einer TAN fragen. Und TANs werden wirklich nur auf der Website gebraucht, die man auch von der Bank gewohnt ist und nirgends wo anders.

Sechstens: Fremdbanken

Vielleicht sollte ich es noch einmal erwähnen: Bekommt man Emails von einer Bank, die man nicht kennt oder von einer Kreditkarte, die man nicht hat oder von einer Lotterie, die man nicht spielt – dann kann man die, ohne sie auch nur anzukucken, sofort wegwerfen.

Die sicherste Methode

Manchmal helfen aber diese ganzen Hinweise trotzdem nicht.
Weil es wirklich gute Phishings da draussen gibt.

Perfekt nachgebaute Website. Mit einer völlig plausiblen URL. Flüssiges Deutsch. Ein Mitarbeitername mit einer Emailadresse, die vernünftig erscheint.

Dann bleibt einem nur der Quelltext der Mail. Denn auch Emailadressen lassen sich fälschen.

In den meisten Emailprogrammen gibt es die Möglichkeit, sich den Text einer Email als Komplett-Text anzeigen zu lassen. Oder den Header lesen zu können.

Bei Thunderbird geht das zum Beispiel ganz einfach mit Steuerung und „U“. Bei Macs mit Command und „U“:

Und da stehen dann recht am Anfang, so in Zeile 15-20 eine ganze Reihe von Einträgen, die mit „Receive“ anfangen. Der oberste Eintrag ist der allererste Eintrag – so eine Email kommt zum Teil ganz schön rum, bevor man sie löscht.

Und bei diesem ersten Receive gibt es einen Eintrag, der heißt „client-ip=207.171.190.10“
Diese Zahlenkolonne ist die IP-Adresse des Senders. Die kann man sich kopieren.

Dann öffnet man den Browser und geht zu U-Trace. Schreibt man UTRACE und dann .de
utrace in einem Wort und de. Dort klebt man dann die IP-Adresse rein und dann sieht man, von wo die Mail gesendet wurde.

Das ist dann schon fast so professionell wie ein Hacker. Also so ein Anfängerhacker. So auf Grundschulniveau. Oder Kindergarten-Niveau. Aber irgendwo fängt jeder mal klein an.

Zum Abschluss möchte ich ein Phishing-Mail vorlesen, das mich gestern erreicht hat. Und das mich auf eine neue, drollige Art erpressen möchte. Sie erfüllt alle Warnkriterien von Phishing. Alle. Aber sie ist irgendwi auch richtig lyrisch. Fast möchte ich dem bulgarischen Absender danken für dieses kleine Stückchen Kunst. Es hat mein Herz gerührt und darum möchte ich das mit euch teilen!

Das Werk von erin.carter1995@mail.bg trägt den Titel:
Munition gegen Sie ID xfpahMZ2W9

Zu der Zeit, als Sie wurde wichsen vornotebook-screen wenn Sie besuchten bzw. besuchen Erotik Web-site Ihre computer get feindlich Programm inmitten Verletzlichkeit Ihre Web browser.

Diese feindlich Programm registriert alle Aktionen computer und unter anderem informiert über Cookies der websites die besuchen.

Und die Vorteil von die gegebenen feindlich Programm, dass es die chance haben aktivieren front-Kamera, selfie Kamera und download alle Telefonnummern von Ihre mail-box.

ebenso besitzen Benutzernamen Ihre E-mail und social-networking-Plattform.

Jetzt ich besitzen video und snap wo du masturbieren und alle zusammen.

Wenn nicht wollen diese Fotografien ausgestellt werden und verschickt alle Ihre Jungs lieben 1 anbieten die nächsten Lösung.

Sie müssen zahlen mine Bitcoin Geld-Tasche 1G8RAvdyHg1MXJGMsr7zpBNVu1UkXFaxkS 450 US-Dollar in BTC.

Erhalt das Geld ich werde entfernen vertrauliche Informationen und Sie sollte nie wieder merken etwa all das.

Andernfalls wenn Sie nicht senden Sie mir dies Geld in 24 Stunden nach Lesen der Brief ich werde weiterleiten diese verschmutztDruckmittel gegen Sie Ihre Familie und arbeitet und auch über social-media-Plattformen und über social-networking-sites für Allgemeine Schätzung von Ihre Verhaltens.

P. S. Meine meine Sprachkenntnisse ist nicht weit von perfekt da ich bin nicht ein Muttersprachler aber Sie darf zu verstehen was ich noch sagen möchte.

Können Sie so freundlich sein und Bitte und nicht eine Antwort geben, die Brief ich will nie verwenden, um es wieder!

Kein Absender…