Scam, Spam und Phishing: Damit muss man sich heutzutage befassen. Nicht etwa freiwillig, sondern weil man damit permanent konfrontiert wird, wenn man seine E-Mails abruft. Ob man will oder nicht. Sobald man digital kommuniziert und eine E-Mail-Adresse besitzt, geht es los. Meine erste E-Mail-Adresse habe ich 1996 bei einem kostenlosen Web-E-Mail-Provider registriert. Die erste Spam Mail und somit die Bezeichnung als „Spam“ gibt es seit 1993. Spam, Scam und Phishing begleiten mich also vom ersten Schritt in die digitale Welt bis heute.

Bislang habe ich mir aber nur mal einen relativ harmlosen Windows-Virus vor zig Jahren eingefangen. Danach habe ich mir einen besseren Virenscanner angeschafft. Glück gehabt? Glück gehört vielleicht dazu. Aber ich achte seitdem auch auf die Sicherheit meiner Infrastruktur. Mittlerweile habe ich mehr als 10 E-Mail-Postfächer mit ungefähr 20 E-Mail-Adressen – aus beruflichen Gründen. Da profitiert man von langjähriger Erfahrung bei der Erkennung von bösartigen Mails. Denn ich bekomme – bei der Vielzahl an E-Mail-Adressen – einiges mehr an Spam, Scam und Phishing Mails.

„Früher“ waren böse Mails noch ziemlich einfältig aufgebaut und gut zu erkennen. Apropos: Wir schauen uns mal die Begrifflichkeiten an, damit wir über dieselben Dinge reden.

Was ist SPAM?Spam und Scam

Historisch betrachtet, reden wir vom Markennamen eines Dosenfleischherstellers, der sich verkürzt aus SPiced hAM zusammensetzt. Während der Rationierung im Krieg war Spam in Dosen eines der wenigen Nahrungsmittel, die in Großbritannien praktisch überall und unbeschränkt erhältlich waren. Die Omnipräsenz dieses Fleisches förderte die Entwicklung des Begriffs.

Doch lassen wir die Geschichte beiseite, kommen wir zu den Inhalten. Spam in einer E-Mail ist eine Werbebotschaft. Die E-Mail mit Spam erreicht uns vorwiegend von unbekannten Absendern, wird unaufgefordert geschickt und möchte etwas verkaufen. Dazu wird ein Werbetext, eventuell mit Bildchen angereichert, als E-Mail verschickt und ein Link zu einem (mehr oder weniger seriösen) Anbieter beigefügt.

Ich würde zwar empfehlen, solche Links nicht zu klicken, aber meistens sind die Links noch relativ harmlos. Die Anbieter dahinter können unseriös sein, müssen es aber nicht.

Beispiele für Spam: Treppenlifte, Leitern, Handwerkszeug und vieles mehr. Auch Pressemeldungen, die unverlangt an Journalisten und Blogger gesendet werden, könnte man als Spam bezeichnen.

Was ist SCAM?

ScamSpam und Scam werden leicht verwechselt, weil Scam auch meistens die Kennzeichen von Spam beinhaltet. Es ist ebenso eine unverlangt geschickte E-Mail von einem fremden Absender. Jedoch ist bei Scam auf jeden Fall eine betrügerische Absicht dahinter. Mittlerweile sind 90% aller unerwünschten Mails in meinem Postfach Scam.

Sie wollen nur Ihr Bestes: Ihr Geld! Ein Beispiel (Klick öffnet die Screenshot-Ansicht lesbar im neuen Fenster) sehen Sie rechterhand: Der Absender (erster Pfeil) gaukelt vor, offiziell oder wichtig zu sein. Hier ein Domain Registrar – das „Service SEO“ wird doch schnell überlesen. Es wird mit dem Ablauf einer Frist „gedroht“.

Lesen Sie genau, wenn Sie die Befürchtung haben, es könnte doch ein Ablaufdatum geben, weil Sie die Domain besitzen. Im Zweifel fragen Sie Ihren SysAdmin, ob er helfen kann oder den eigenen Provider, mit dem man einen ordentlichen Vertrag hat. Wobei der dritte Pfeil eindeutig sagt: „We are selling traffic generator software tools“.

Aber es wird auch gleich ein Link mitgeliefert (zweiter Pfeil), der das „Unheil“ abwenden könnte. Klicken Sie nie auf solche Links, bitte! Öffnen Sie auf Websites oder in E-Mails nie Dateien, insbesondere ausführbare Software (.EXE), .ZIP-Dateien oder .DOCM (Word-Dateien mit Makros). Doch auch andere Dateitypen können gefährlich sein, etwa vermeintliche .PDF-Dateien. Wer nicht die aktuellsten Sicherheits-Updates einspielt, läuft mitunter sogar Gefahr, Rechner oder Mobilgerät durch das bloße Öffnen von Bilddateien zu infizieren.

Scam aus China – seit 2012

Scam China Domain RegistratorNeu aufzuflackern scheint auch der Scam mit chinesischen Domain Registraren zu sein. Neulich bekam ich eine E-Mail, in der mir netterweise angekündigt wurde, dass meine Domain mit den chinesischen Domainendungen (TLD) .CN, .COM.CN, .NET.CN und .ORG.CN von einer anderen Firma registriert werden sollte. Ich könnte mich aber melden, wenn ich mit dieser Firma nichts zu tun hätte. Ich biss darauf nicht an, denn selbst wenn eine Firma in China die Domain registrieren sollte, würde es mich nicht großartig stören. Doch bei manchen Firmen ist das ja anders.

Natürlich recherchierte ich sofort nach Erhalt dieses Scams, nach den Keywords, die mir einfielen. Manchmal hilft es auch, einen prägnanten Teil des E-Mail-Textes in die Suchmaschine einzugeben. Ich fand folgenden sehr interessanten Artikel: Chinese domain name registration scams. Wer Spaß daran hat, kann sich ja mal (auf englisch) durchlesen, was passiert, wenn man dem Scammer antwortet. Für alle anderen die Kurzform:

Es ist Scam, wenn jemand als „Chinesischer Domain Registrator“ anfragt. Sie können diese E-Mail löschen. Nein, im Normalfalle braucht man keine chinesischen Domainendungen. Ausnahmen bestätigen die Regel.

Weiterer Scam

Alle weiteren Angebote per E-Mail, die „zu gut, um wahr zu sein“ sind, sind skeptisch zu betrachten. Lotterie-Gewinne, Job-Angebote, „Schnell-Geld-machen“-Versprechen, Glücksspiele und überraschende Erbschaften sind nur für eins gut: Ab in den Papierkorb. Sollte man dennoch nicht widerstehen können, entpuppen sich die Ansprechpartner bald als diejenigen, die einen Vorschuss benötigen, die Ihnen Geld überweisen wollen, aber vorher eine Garantiezahlung verlangen oder ähnlich gelagerte Zahlungen von Ihnen möchten. Natürlich mit der Aussicht, dass Sie ja viel, viel mehr zurück bekommen. Sie bekommen nichts, garantiert: Nämlich nie das eigene Geld zurück und auf keinen Fall irgendeinen Cent aus irgendwelchen Gewinnen oder Erbschaften.

Was man gegen Scam machen kann? Auf keinen Fall antworten. Denn dann verifiziert man den Kontakt. Löschen und gegebenenfalls vorher als Spam markieren. Ja, hier (im E-Mail-Client) wird wieder kein Unterschied gemacht zwischen Spam und Scam.

Phishing E-Mails sind ganz besonderer Spam/Scam

Hier wird meistens mit dem Zeitfaktor gespielt. Ganz, ganz schnell soll man den Anhang öffnen oder eine Website besuchen. Am besten noch mit Login-Maske, in die man seine Kontodaten oder Kreditkarten-Informationen eingibt.

Ein kleines Beispiel. Wenn ich schreibe: „Besuchen Sie die Wikipedia-Seite zu Spam unter https://de.wikipedia.org/wiki/Spam und verlinke diese wie geschehen, dann landen Sie bei Klick nicht direkt bei Wikipedia. Hier dürfen Sie ruhig klicken und staunen, völlig harmlos alles. In fremden E-Mails bitte nicht! So werden in HTML-Mails Links verschleiert. Ganz besonders beliebt sind auch kleine „Vertipper“. Oder Subdomains, die den seriösen Anbieternamen enthalten. Was würden Sie denken, wenn ich nun sage, klicken Sie mal auf Google und hätte die Subdomain https://google.<…>.de eingerichtet? Wenn ich die Domain <…>.de besitzen würde, könnte ich alle möglichen Worte vor der eigentlichen Domain in spitzen Klammern hinzufügen. Wenn Sie geklickt hätten, wäre dort (theoretisch) ein böses Script hinterlegt. Schon reingefallen, Download gestartet, infiziert und unfreiwilliges Mitglied im Botnet geworden, da der Computer Schadsoftware abbekommen hätte.

Phishing möchte also entweder Daten abgreifen, mit denen man Ihr Geld ausgeben kann (Daten der Kreditkarte) oder Sie dazu verführen, etwas auf Ihrem Rechner zu speichern beziehungsweise etwas zu öffnen, damit Schadcode ausgeführt werden kann.

Wie vermeide ich, dass weitere Spams und Scams verschickt werden können?

Indem ich meine eigenen Systeme sauber halte. Dazu gehören Betriebssysteme und Software aller Art. Man sollte die Computer- und Netzwerksicherheit erhöhen, und auf jeden Fall darauf achten, dass auch der eigene E-Mail Server kein offenes Mail-Relay bietet. Darüber – im Botnet – können dann nämlich die nervigen und schädlichen E-Mails versendet werden, ohne dass der wahre Absender jemals in Erscheinung tritt. Der Grund der vielen Spams und Scams ist also die mangelnde Pflege oder Nachlässigkeit von Kommunikationssystemen.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.

 

Bildnachweis: Spam mit Lizenz CC BY-SA 4.0