IT-Academy Logo
Sign Up Login Help
Home - Internet - Skurriles - Phishing-Mails



Phishing-Mails

Im Web kursieren seit kurzem gefälschte Mails um an vertrauliche Daten von Konsumenten heran zu kommen. In diesem Artikel zeige ich ein Beispiel einer gefakten Mail.


Autor: Robert Sarkezi (picard)
Datum: 08-10-2004, 16:59:04
Referenzen: Phisher-Mail
Schwierigkeit: none
Ansichten: 3737x
Rating: 7.5 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Einleitung

Phishing ist eine Abkürzung von password und fishing. Ziel der Betrüger ist es mit gefälschten Mails an vertrauliche Daten wie z.B. Passwörter, Pins etc. zu gelangen um so einen Schaden anzurichten. Gerade im Bereich des Bankwesens lässt sich ein großer Schaden anrichten, da schon mal locker ein paar Tausend Euro von einem Konto abgebucht werden können, ohne, dass man dies je beabsichtigt hat.

Beispiel

Im Folgenden zeige ich ein Anhand einer gefälschten Mail von Citibank wie so etwas aussieht.

Thema: CitiBank: Special Announce [Fri, 08 Oct 2004 12:20:44 +0200]
Absender: Citi <antifraud.ref.num5606024001@citibank.com>

Nun, auf den ersten Blick, sieht es gar nicht verdächtig ist. Die Absender-E-Mailadresse enthält sogar antifraud, wobei fraud auf Deutsch Betrug bedeutet. Man könnte also fast annehmen, dass durch diese E-Mail-Adressen Betrug verhindert werden soll.

Wer ev. noch einen Blick auf den Absenderserver wirft, welcher die IP: 211.186.49.128 hat, dem wird auch nicht unbedingt gleich ein Verdacht kommen, es sei denn er versucht heraus zu finden, wem diese IP gehört. Nun, sie liegt im Bereich 210.0.0.0 - 211.255.255.255 welcher dem Asiatischen/Pazifischen Raum zugeteilt ist, sie ist jedoch nicht registriert.

Sehen wir uns die Mail selber an:



Bitte auf das Bild klicken für eine Vergrößerung.

Nun, es sieht ja ebenfalls recht vertrauenswürdig ist. Was einem auf den ersten Blick vielleicht gar nicht auffällt, dass es sich bei diesem "Text" um eine transparente Grafik handelt, welche als Map für ein Link dient. Man muss also gar nicht auf den vermeintlichen Link klicken, es reicht auch, wenn man irgendwo in den Text klickt. Sehen wir uns den Quelltext an:

<A HreF="https://web.da-us.citibank.com/signin/scripts/login/user_setup.jsp">
<map name="FPMap0">
<area coords="0, 0, 610, 395" shape="rect"
href="http://%32%30%35%2E%31%34%36%2E%32%31%34%2E%31%32%32:
%34%39%30%31/%63%69%74/%69%6E%64%65%78%2E%68%74%6D"></map><img SRC="mailbox-message://username@mein.mailserver.cc/Inbox#14506447?
header=saveas∂=1.2&filename=bellmen.GIF" border="0" usemap="#FPMap0"></A></a></font>


Obwohl die Grafik als Link auf die echte Seite von Citibank führen soll, enthält sie eine Imagemap, welche wiederum diesen kryptischen Link erhält. Beim Mouseover über die Grafik sieht man als Link: http://205.146.214.122:34/cit/index.htm.

Was der Empfänger der Mail nicht sieht ist das hier:

in 1930 NY Yankees I trust you Ellis Island Take it easy! Atkins Diet ?? ???? Super Bowl Commercials King Live vs. town, Network Shoe them to me please That won't do. Alltheweb in 1944 There's also another one Dear friends! Outlaw Star in 1959 Winamp I say! in 1857 don't look very fit Hold on in 1856 I enjoy it...

Es hat nämlich die Schriftfarbe Weiß und ist somit nicht sichtbar:

<font color="#FFFFFE">in 1930 NY Yankees I trust you Ellis Island Take it easy! Atkins Diet ?? ???? Super Bowl Commercials King Live vs. town, Network Shoe them to me please That won't do. Alltheweb in 1944 There's also another one Dear friends! Outlaw Star in 1959 Winamp I say! in 1857 don't look very fit Hold on in 1856 I enjoy it... </font>

Ich nehme mal an, dass es sich hier um eine verschlüsselte Nachricht des Absenders handelt. Klickt man auf die Grafik, dann versucht der Browser folgende Seite aufzurufen: http://%32%30%35%2E%31%34%36%2E%32%31%34%2E%31%32%32:
%34%39%30%31/%63%69%74/%69%6E%64%65%78%2E%68%74%6D.

Sie wird natürlich nicht gefunden!

Fazit

Es ist jetzt schwer zu beurteilen, ob der Versender der E-Mail einen Fehler gemacht hat oder absichtlich die Empfänger stutzig machen wollte. Bei mir wandelt nämlich weder der Mozilla noch der Internet Explorer die Adresse richtig um, sodass dieser Link erscheint: http://205.146.214.122:34/cit/index.htm.

Wie auch immer - laut Recherchen von diversen Firmen fallen ca. 10% der Empfänger von solchen Mails auf den Betrug rein. Ob man nun gegenüber diesen Personen nun Bedauern empfindet oder Schandensfroh ist, dies überlasse ich jedem. Schade ist nur, wie leicht sich Menschen manipulieren lassen und den gesunden Menschenverstand außer Acht lassen.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04511
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06248
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1158
Comments: 0