Spam erkennen: Verdächtige Rechnung

Heutige Anfrage eines Kunden: „Ich habe eine Mail mit Rechnungen als Anhang von Vodafone erhalten. Ich bin zwar Vodafone-Kunde, aber das sieht verdächtig aus. Klicken oder nicht?“

Super, dass mal jemand vorher fragt! In letzter Zeit ist wirklich viel von diesem Zeug unterwegs, angeblich von der Telekom, von Vodafone usw.

Im Junk-Ordner – der Junk-Filter von Thunderbird leistet hier hervorragende Arbeit – finde ich selbst zwei Exemplare, die wir uns nun mal ansehen wollen:

Angebliche Mail von Vodafone 1

  1. Absender ansehen
    Name = noreply@mail.vodafone.de
    Adresse = *@biskupin.info.pl
    also nicht von Vodafone und nicht aus Deutschland.
    Das allein reicht schon für den Papierkorb.
    Ein weiteres Exemplar dieser Mail enthielt als Adresse *@online.de, also weiterhin: Vorsicht!
  2. Link prüfen
    Der Link verweist angeblich auf ein pdf, steht ja dort beschrieben. Die Nachricht wurde aber aus gutem Grund in Html verfasst: erst wenn man mit der Maus über den Link fährt, wird sichtbar wohin die Reise tatsächlich gehen soll nach Georgien.
    Spätestens jetzt: löschen.

[update 21.11.14]  und noch mal die gleiche Masche:
Absender „Vodafone online“
Adresse melinda@*.ro (Rumänien)
pdf-Link für auf *.com.tr (Türkei)

Das Erkennen einer betrügerischen Absicht wird wesentlich erleichtert, wenn man dem E-Mail-Programm gar nicht erst die Ansicht in Html gestattet, sondern „nur Text“.

Dann sieht das so aus und der trügerische Link wird sofort erkennbar:

141120-vodafone-spam-2

Also, wichtige Sicherheitsmaßnahme: E-Mail-Programm auf die „nur Text“-Darstellung umstellen.

Hier zwei gängige Beispiele:

  • Microsoft Outlook 2010
    Datei –> Optionen –> Sicherheitscenter –> Einstellungen für das Sicherheitscenter (kein Witz, wir sind noch nicht fertig) –> E-Mail-Sicherheit  –> Standardnachrichten im Nur-Text-Format lesen“
  • Thunderbird
    Ansicht –> Nachrichteninhalt –> reiner Text
    3 Schritte, geht doch!

Und was soll das überhaupt?

  • Die Seite in Georgien, die per Browser aufgerufen werden soll, enthält wahrscheinlich schädlichen Code. Aber das müssen wir gar nicht wissen. Die beiden genannten Indikatoren sind vollkommen ausreichend, um die Nachricht zu löschen.
  • Durch den Aufruf der Internetseite könnte z. B. ein Computer unter die Kontrolle der Bösewichte geraten, damit sie von dort aus weitere schädliche Nachrichten dieser Art verbreiten können – und das wäre noch eine harmlose Variante.