Betrügerische E-Mails erkennen
Inhalt
Allgemeines
Einfache Erkennungsmerkmale
Keine Geschäftsbeziehung mit dem AbsenderTechnische Erkennungsmerkmale
Aufforderung Daten bekannt zu geben
Dringlichkeit des Handels oder Drohungen
Ungewöhnliches Anliegen
Gängige Sachverhalte
Absenderadresse passt nicht zum angeblichen Absender
Absenderangaben sind vage, ungenau oder falsch
Links passen nicht zum angeblichen Absender
Ähnliche gefälschte Domains
Fehlende oder unübliche Anrede
Unpassende Texte oder Zeichen im Betreff oder Text
Rechtschreibfehler oder Grammatikfehler im Text
Internetadressen sind unüblich oder verschleiert
Verwendung von Unicode-Zeichen
Absender in den Kopfzeilen stimmt nicht
SPF, DKIM und DMARC nicht bestanden
Allgemeines
Unter Scam-Mails versteht man alle Arten von betrügerischen E-Mails. Phishing-Mails sind eine Unterart und zielen darauf ab, Informationen vom Empfänger zu erhalten, wie zum Beispiel dessen persönliche Daten, Kennwörter oder Kreditkartendaten.
In diesem Artikel werden die wichtigsten Erkennungsmerkmale von betrügerischen E-Mails erklärt.
Grundsätzliches zum Umgang mit verdächtigen Mails
Banken und andere Unternehmen haben die Daten ihrer Kunden und wissen wem sie eine E-Mail schicken. Daher wird man üblicherweise eine persönliche Anrede in der E-Mail finden. Vor allem aber fragen sie nicht nach persönlichen Informationen - da sie diese von ihren Kunden ohnehin schon haben. Persönliche Daten an einen unbekannten Empfänger zu senden kann zu Identitätsdiebstahl führen.
Betrüger fälschen oft das Erscheinungsbild von E-Mails und Webseiten der vorgeblichen Banken und Firmen. Bilder und manche Links können dabei auf die originale Webseite verweisen. Daher sollten immer alle Links genau geprüft werden.
Eine Nachfrage beim angeblichen Absender kann Klarheit bringen. Es darf jedoch nicht die Telefonnummer oder der Link aus der betreffenden E-Mail verwendet werden.
Links in verdächtigen Nachrichten sollten nicht angeklickt und Anlagen daraus nicht geöffnet werden.
Verdächtige Nachrichten sollten im Nur-Text-Modus angezeigt werden, da dadurch viele Anzeichen von betrügerischen Nachrichten offenbart werden.
Einfache Erkennungsmerkmale
Anzeichen für eine verdächtige Nachricht sind unter anderem:
- Es besteht keine Geschäftsbeziehung mit dem Absender
- Eine Aufforderung Daten bekannt zu geben ist enthalten
- Die angebliche Dringlichkeit des Handels wird betont oder es ist eine Drohung enthalten
- Die Nachricht enthält ein ungewöhnliches Anliegen
- Der Inhalt entspricht gängigen Sachverhalten in Betrugs-Mails
- Die Mail-Adresse des Absenders passt nicht zum angeblichen Absender
- Die Absenderangaben sind vage, ungenau oder falsch
- Die Links (URLs) passen nicht zum angeblichen Absender
- Die Domains unterscheiden sich in der Schreibweise oder haben leicht zu übersehende Fehler
- Fehlende oder unübliche Anrede des Empfängers
- Unpassende oder vom Thema abweichende Texte oder zufällige Zeichen im Betreff oder Text
- Rechtschreibfehler oder Grammatikfehler im Text
Im Folgenden werden die einzelnen Punkte genauer erklärt.
Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?
Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!
Keine Geschäftsbeziehung mit dem Absender
Der Absender hat keine Geschäftsbeziehung mit dem Empfänger.
Betrüger versenden Nachrichten auch auf gut Glück, ohne die tatsächliche Bank oder den Internet-Provider des Empfängers zu kennen. Es werden einfach sehr verbreitete Banken oder Provider als Absender verwendet.
Daher sollte zuerst geprüft werden, ob man überhaupt Kunde bei der betreffenden Firma ist und die Nachricht überhaupt relevant sein könnte.
Aufforderung Daten bekannt zu geben
Er Empfänger wird dazu aufgefordert, seine persönliche Daten, Benutzerinformationen, Bank- oder Kreditkartendaten, bekanntzugeben. Die Daten sollen dabei entweder per E-Mail oder durch Eingabe auf einer Webseite übermittelt werden.
Dringlichkeit des Handels oder Drohungen
In der Nachricht wird die Dringlichkeit einer bestimmten Handlung betont und mit ernsten Konsequenzen gedroht, wenn der Empfänger nicht unverzüglich handelt.
Dies können Formulierungen sein wie etwa Ihr Passwort wird heute ablaufen.
oder Aktualisieren Sie Ihre Daten, um eine Kontosperre zu vermeiden.
.
Ungewöhnliches Anliegen
Die Nachricht enthält ein Anliegen, das für den Absender ungewöhnlich ist.
Dies kann z.B. eine Zahlungsanweisung des Geschäftsführers an die Finanzabteilung sein, obwohl der Geschäftsführer Überweisungen sonst immer persönlich oder telefonisch anordnet. Sicherheitsprobleme bei Banken und Netzbetreiber können ebenfalls Thema der Nachricht sein und zur Bekanntgabe von Daten auffordern.
Gängige Sachverhalte
Betrüger verwenden häufig folgende angebliche Sachverhalte, um den Empfänger zu verunsichern und zur Bekanntgabe von persönlichen Informationen zu verleiten:
- Die Gültigkeit eines Passworts ist abgelaufen und muss verlängert werden, damit das Benutzerkonto nicht gesperrt wird.
- Zahlungsinformation oder Benutzerinformationen sind ungültig oder veraltet und müssen aktualisiert werden.
- Eine Rechnung in der Anlage muss dringend bezahlt werden.
- Dateien - etwa Bilder oder Geschäftsdokumente - liegen zum Download bereit.
- Der Gewinn einer meist staatlichen Lotterie soll an den Empfänger ausbezahlt werden.
- Eine Rückerstattung vom Finanzamt oder einer sonstigen staatlichen Stelle soll ausbezahlt werden.
- Es wird ein kostenloses Produkt angeboten, für deren Erhalt die Bekanntgabe von persönlichen Daten erforderlich ist.
- Spendenaufforderung einer angeblichen Wohltätigkeitsorganisation, meist nach einer Naturkatastrophe oder eines Terroranschlages.
- Dem Empfänger wird ein Geschäft oder eine Stelle angeboten - meist in der Finanzbranche.
Absenderadresse passt nicht zum angeblichen Absender
Die Domain muss zum Absender passen und entspricht üblicherweise auch der Domain des Internetauftritts des Absenders.
Absender werden meist in der Form "Name" <e-mail@domain.example> angegeben. Manche Mail-Clients zeigen die Adresse nicht an, falls ein Name angegeben ist. Wird als Name eine Mail-Adresse verwendet, kann dies leicht zu einer Täuschung führen. So wird beim Absender "service@bank.example" <service@bank.provider.example> oft nur service@bank.example angezeigt.
Einige Absender verenden auch die Empfängeradresse als Absenderadresse, vor allem, wenn es in der Nachricht um angebliche Sicherheitsprobleme geht.
Absenderangaben sind vage, ungenau oder falsch
Betrüger wissen meist nicht, bei welchem Provider oder Bankinstitut der Empfänger Kunde ist. Daher lassen sie die genaue Bezeichnung des vorgeblichen Absenders oft weg, um den Empfänger zu täuschen. Beispiele für vage Absender ohne genaue Firmenangaben oder Adressen sind beispielsweise "Network Center, Vienna", "The Support Team", "Ihr Administrator" oder "Kundenservice".
Links passen nicht zum angeblichen Absender
Die Internetadressen (URLs) in den Links der Nachricht passen nicht zum angeblichen Absender.
Die Links in Nachrichten führen normalerweise zur Webseite des Absenders. Betrüger versuchen ihre eigenen Internetadressen auf verschiedene Arten zu verbergen.
Bei HTML-Mails können die angezeigten Adressen von den tatsächlich verlinkten Adressen abweichen. Die Statusleiste des Mail-Clients oder des Browsers bei Webmail zeigt die tatsächliche Adresse an.
Eine E-Mail in der Nur-Text-Ansicht zu lesen hilft ebenfalls bei der Erkennung der tatsächlichen Internetadressen.
Im Abschnitt "Technische Erkennungsmerkmale" wird genauer auf unübliche und verschleierte URLs eingegangen.
Ähnliche gefälschte Domains
Von den Betrügern werden mitunter ähnliche Domains registriert, um über den Absender zu täuschen. Zeichen, die anderen Zeichen ähnlich sehen, werden ausgetauscht: i und l, o und 0 etc. Auch Bindestriche oder Zusätze können die Domain abändern, ohne dass dies dem Empfänger auffällt. Zum Beispiel: "hypo-bank" statt "hypobank" oder "raifffeisen" statt "raiffeisen".
Dies betrifft nicht nur die Domains in den Links der Nachricht sondern auch die Domain in der Mailadresse des Absenders.
Im Abschnitt "Technische Erkennungsmerkmale" wird detaillierter auf ähnliche Domains durch die Verwendung von Unicode-Zeichen eingegangen.
Fehlende oder unübliche Anrede
Die persönliche Anrede in der Nachricht fehlt, ist falsch oder unüblich.
Eine förmliche Anrede nur mit dem Vornamen, wie in Sehr geehrter Herr Max
ist eher unüblich.
Manchmal entspricht die Anrede dem ersten Teil der Empfängeradresse, z.B. Guten Tag info, ...
für die Mail-Adresse <info@example.com>.
Ein anderes Zeichen einer unseriösen E-Mail ist, dass der Absender der Nachricht die eigene Anrede vor seinen Namen setzt, z.B. Mein Name ist Herr Max Mustermann ...
oder Ich bin Frau Maxine Musterfrau aus ...
.
Unpassende Texte oder Zeichen im Betreff oder Text
Ein nicht zum Beginn der Nachricht passender Text am Ende der Nachricht ist oft ein Zeichen für eine ausgenutzte Schwachstelle in einer Webseite. Zum Beispiel geht es am Beginn um die Änderung des Passworts und am Ende der Nachricht findet sich eine Weiterempfehlung einer anderen Webseite.
Manchmal werden auch zufällige Zeichen, Wörter oder ganze Textpassagen am Ende des Betreffs oder des Nachrichtentextes angefügt. Dies soll die automatische Erkennung als Spam erschweren.
Manchmal finden sich auch falsch kodiere Sonderzeichen, z.B. ein Platzhalter in Form eines Fragezeichens an Stelle eines deutschen Umlauts. Dies deutet darauf hin, dass der Absender normalerweise keine deutschsprachigen Texte verschickt. Da dies auch noch andere Gründe haben und sollte daher nicht als sicheres Zeichen für eine gefälschte E-Mail gewertet werden.
Rechtschreibfehler oder Grammatikfehler im Text
Der Text oder Betreff enthält Rechtschreibfehler oder Grammatikfehler.
Auch wenn Betrüger KI und gute Übersetzungsprogramme verwenden und die Texte heute relativ gut geschrieben sind, sollte man dennoch darauf achten. Insbesondere bei unüblichen Formulierungen ist eine genauere Prüfung der Nachricht ratsam.
Technische Erkennungsmerkmale
Internetadressen sind unüblich oder verschleiert
Im Quellcode der Nachricht können die tatsächlich verlinkten Adressen eingesehen werden. Sie finden sich im href-Attribut der a-Tags. Die anzuzeigende Adresse folgt im Link-Text: <a href="https://VERLINKTE_ADRESSE/">https://FALSCHE_ADRESSE/"</a>
.
Die Nachricht kann auch im Nur-Text-Modus angezeigt werden, um die in der Text-Version der Nachricht verwendeten URLs zu sehen.
URL-Shortener-Dienste wie etwa shorturl.at, tinyurl.com oder bit.ly werden häufig zum Verschleiern der tatsächlichen Adresse verwendet.
Die Verwendung von IPFS-URLs ist ein weiteres Anzeichen für unseriöse Nachrichten. IPFS (InterPlanetary File System) ist ein Peer-to-Peer Netzwerk zum Hosten von Dateien. Durch die dezentrale Speicherung kann die Webseite praktisch nicht entfernt werden und bleibt immer erreichbar. Im URL findet sich ein Hashwert, der als Content Identifier (CID) bezeichnet wird und meist auch die Bezeichnung "ipfs", z.B.: "https://b94d...CID...7hr1.ipfs.dweb.link" oder "https://ipfs.io/ipfs/8ed0...CID...k7da" (CID in den Beispielen gekürzt/verändert).
Verwendung von Unicode-Zeichen
Einige Buchstaben sehen anderen Unicode-Zeichen so ähnlich, dass der Unterschied mit bloßem Auge kaum zu erkennen ist. Für einen Computer handelt es sich jedoch um gänzlich andere Zeichen.
So können Betrüger eine Domain registrieren, die für den Empfänger wie die Domain einer bestimmten Firma aussieht, technisch aber gänzlich unterschiedlich ist. Vor allem griechische und kyrillische Zeichen eignen sich dazu.
Hier ein Beispiel: Durch die Verwendung der kleinen griechischen Buchstaben Nu (ν), Omikron (ο) und Ypsilon (υ) kann aus der Domain "voss-bau.example" die gefälschte Domain "νοss-baυ.example" entstehen. Optisch ist kaum ein Unterschied zu erkennen, technisch gesehen lautet die gefälschte Domain jedoch "xn--ss-ba-eceo7c.example" (in IDN-Schreibweise für DNS-Anfragen).
Werden Unicode-Zeichen im Text verwendet, bleibt dieser meist für Menschen dennoch leicht leserlich. In diesem Beispiel wurden unter anderem die Buchstaben "I" und "r" ersetzt: Īch bin ein pŗofessionelleŗ ҤaCkeŗ und habe eŗfolgŗeich Īhŗ Betŗiebssystem gehackt.
Weitere Anzeichen für betrügerische Nachrichten sind im Artikel Spam-Mails im Abschnitt Die Tricks der Spammer zu finden.
Absender in den Kopfzeilen stimmt nicht
In den Zustell-Vermerken in den Kopfzeilen (Received-Zeilen) kann der Absender überprüft werden.
Nähere Informationen zum Lesen und Verstehen der Kopfzeilen und insbesondere der Received-Zeilen ist im Artikel E-Mail Kopfzeilen verstehen enthalten.
SPF, DKIM und DMARC nicht bestanden
In den Kopfzeilen finden sich eventuell auch Angaben zu automatisierten Tests, die von den an der Zustellung beteiligten Mailservern durchgeführt wurden.
Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) sollen das Versenden von Nachrichten mit einer gefälschten Absenderadresse verhindern bzw. einen solchen Versuch aufdecken.
Die Namen der Kopfzeilen können je nach Betreiber unterschiedlich sein, hier einige Beispiele:
Received-SPF: fail X-Spf-Fail: Yes X-Dmarc-Test: Reject
Die Ergebnisse können auch als Teil der Zeile "Authentication-Results" zu finden sein:
Authentication-Results: host.example.com; dkim=pass ... spf=pass ... dmarc=pass ...
Gefällt dir meine Webseite, meine Freeware-Programme oder Online-Tools?
Dann spende bitte per PayPal und hilf mit, den Inhalt weiterhin kostenlos anbieten zu können - jeder Betrag ist willkommen!