Freitag, 10. August 2018

Grußkarten als raffinierte Falle, um an das GMX-Passwort zu kommen.

Es ist heute so einfach für  Betrüger:

Man sende eine gefälschte Nachricht ("fake-Nachricht") an beliebige gmx-email-Adressinhaber, worin es heißt, dass irgendeine "Monique" oder sonst jemand eine elektronische Grußkarte hinterlassen hätte. Da im Bekanntenkreis bestimmt irgendeine Monique (etc) existiert, ist der Empfänger noch nicht misstrauisch genug und will die Karte sehen.

Dazu erscheint ein Fenster, das wie ein GMX-Login aussieht. Man gibt seine email-Adresse und sein GMX-Passwort ein - und sendet damit die Daten an den Betrüger, statt an GMX.

Dann erhält der Betrogene noch eine unwichtige, anonyme Grußkarte, die er enttäuscht wegklickt, und er merkt nie, dass er an diesem Tag seine Zugangsdaten preisgegeben hat. Der Betrüger hat wieder ein neues Zugangspasswort  und kann künftig ihr GMX-Postfach einsehen - und mehr.

Das nennt man bekanntlicherweise "Phishing", denn mit solchen Tricks fischen Betrüger nach Passwörtern. Und selbst misstrauische User tappen immer wieder mal in solche Fallen, vor allem, da die Eingabemasken täuschend echt nachgemacht sind.

Hier ein aktuelles Beispiel:

Eine email, die so wirkt, als wenn sie von gmx stammt:



Diese email ist gefälscht. Es gibt keine Monique, die Ihnen eine Grußkarte senden will. Der Button "Zur Grußkarte" öffnet ihren Browser und ruft eine Seite aus, auf der eine täuschend echt nachgemachte GMX-Loginseite erscheint.


Auch der zusätzliche Link "grusskarten.gmx.net/messages" (eine Adresse, die es tatsächlich gäbe) führt nicht zu dieser Adresse bei gmx, sondern in Wirklichkeit zu der gefälschten GMX-Loginseite, nämlich zu


gicsm.succesfulgretingscard.biz




So sieht die (betrügerische) Webseite aus, auf der Sie landen, wenn Sie den Button in der email angeklickt hatten:


An der Webadresse ("URL") ganz oben im Adressfeld merkt man eigentlich, dass man nicht auf www.gmx.net gelandet ist, sondern irgendwo anders, nämlich auf gicsm.succesfulgretingscard.biz.  Aber das macht einen normalen User, der sich mit Internet-Systemen nicht gut auskennt, nicht unbedingt misstrauisch. Darum ist dieser Phishing-Versuch wirklich gefährlich.

Wer misstrauisch ist und die Seite weiter untersucht, wird feststellen, dass der Text rechts unten ("Sie haben noch kein GMX-Postfach...") kein echter (markierbarer) Text ist, sondern ein Grafik-Puzzle-Teil, ebenso der obere Teil der Seite.  Das würde einen fachkundigen User endgültig misstrauisch machen. Von einem Laien kann man aber kein Wissen über den technischen Aufbau von Webseiten erwarten. im übrigen kann der nächste Betrugsversuch perfekter sein - dann ist dort echter Text  und die komplette Login-Seite ist täuschend echt.

Wichtig ist letztlich, dass man nie Logins auf einer fremden Webadresse macht. Ein GMX-Login nur auf GMX.net, ein amazon-Login nur auf amazon.de und so weiter. Aber Login-Daten auf einer fremden Seite einzugeben ist blanker Irrsinn.

Natürlich steht oben auf der Webseite "Sie sind hier: GMX-Homepage -> GMX-Login". Das soll dem User vortäuschen, er sei auf einer Unterseite von GMX. Aber ein Blick in das Adressfeld im Browser zeigt, dass hier was nicht stimmen kann, denn dort steht kein GMX.NET.


Das Geheimnis, das lebenswichtig ist

Das Problem ist: Verdammt viele User wissen einfach nicht, was ein Adressfeld  ist. Ich verfolge das seit Jahren: Computernutzer leiten Firmen, Abteilungen, Schulen und benutzen den Computer seit vielen Jahren. Aber sie haben keine Ahnung davon, dass es eine Adressleiste im Browser gibt.

Vielmehr geben sie alles in das Google-Suchfeld ein. Denn meistens ist der Browser so konfiguriert, dass beim Start des Programms die Webseite von google.com erscheint, und in der Mitte des Bildschirms das berühmte Suchfeld von google dazu auffordert, hier etwas einzugeben.

Das funktioniert letztlich auch, denn irgendwie kommen sie an das Ziel. Aber es ist unglaublich wichtig, dass Sie lernen, wie das eigentlich richtig funktioniert. Nur so können Sie im Laufe der Zeit vielen Fallen entgehen, können vermeiden, dass Sie sich Viren und Trojaner einfangen oder ihre Login-Daten preisgeben. Vergessen Sie für ein paar Minuten ihre Bequemlichkeit und lassen Sie sich von einem Bekannten erklären, was ein Browser ist und was es mit der Webadresse auf sich hat.

Hier zeige ich, wie man es eigentlich nicht machen sollte, auch wenn es scheinbar funktioniert:





Der Grund, warum viele User auch nach Jahren der Computernutzung noch immer nicht wissen, was ein Adressfeld ist, liegt daran, dass man über google-Suchen letztlich auch oft zum Ziel kommt, einfach durch rumklicken. Manchmal kommt man aber auch auf Irrwege. Dann passiert es, dass man jemand eine Webadresse (z.B. für eine Ferienwohnung) gibt, der Betreffende aber partout nicht dorthin kommt, weil er die Adresse in google eingibt, google aber diese Webseite nicht registriert hat.

Merke: Wenn ich eine Webadresse habe, gebe ich ihn nicht im google-Suchfeld ein, sondern ganz oben.

Die Browserfenster sehen nicht alle so aus, wie in obigen Bildern. Wer den "Internet Explorer" zum Surfen benutzt, hat ein etwas abweichendes Design, ferner kann es sein, dass Sie eine andere Version des "Firefox" benutzen, oder "chrome" oder "Safari". All das sind alternative Programme, mit denen man im Internet surft, man nennt sie BROWSER.

Wenn Sie das verwirrt: keine Angst, Sie gehören zur großen Masse der Unwissenden, aber es ist wirklich wichtig, dass Sie einmal ein Stündchen investieren und sich informieren, was ein BROWSER ist und wie man damit richtig umgeht. Denn nur diese Unwissenheit macht es den Hackern so leicht, ihre Viren und Trojaner weltweit zu verteilen.

Und für alle anderen, die das lesen: lacht nicht! Es gibt sie wirklich, die "Masse der Unwissenden", und man muss sie direkt ansprechen, statt sich über sie lustig zu machen.


Zurück zum Grußkarten-Betrug

Der Betrüger hatte sich für dieses Betrugsprojekt (unter Missachtung der Rechtschreibung) eine domain namens succesfulgretingscard.biz registrieren lassen, dort eine subdomain "gicsm" eingerichtet (also gicsm.succesfulgretingscard.biz), und dort wiederum eine gefälschte GMX-Loginseite platziert. 

Auf der Hauptseite der domain (succesfulgretingscard.biz) hat der Betrüger  ein coming-soon Bild montiert, was zeigt, dass auf dieser Seite keine Grußkarten existieren - die domain existiert nur dem Schein nach.

Theoretisch kann es auch sein, dass der Inhaber von succesfulgretingscard selbst ein Opfer ist - jemand, der sich eine domain gesichert hat und sich dann vorläufig nicht weiter darum kümmert. Da es Hackern oft recht leicht gelingt, in den account des Webservers zu gelangen, kann ein Hacker sich dort gemütlich subdomains einrichten, und dort installieren, was er will. Der Inhaber der domain wird es nie merken.

Man kann natürlich über WHOIS-Anfragen versuchen herauszufinden, wer diese domain registriert hat, aber man kommt hier nicht wirklich weiter - das wäre Zeitverschwendung. Solche phishing-Versuche mit vorübergehend registrierten domains oder gehackten domains sind Alltag, es gibt sie massenhaft. Recherchen bringen erfahrungsgemäß nichts.

Ein prüfender Blick auf die Hauptdomain "succesfulgretingscard.biz" zeigt, dass hier kein Angebot läuft.

Die genannte Webseite wird sowieso bald deaktiviert werden, und zwar aufgrund von Meldungen über den betrügerischen Missbrauch der domain. Aber bis dahin hat der Betrüger schon wieder genug neue Passwörter gesammelt und er bastelt schon an der nächsten Webseite - bzw. hat schon weitere am Laufen.

P. Burkes, August 2018

Beliebteste Artikel