Donnerstag, 23. Januar 2014

Lernen Sie, betrügerische Webadressen zu erkennen


Es kursieren fake-emails, die nur scheinbar von der Sparkasse kommen und die SEPA-Umstellung betreffen.

Die email will Sie über einen Link zu einer gefälschten Webseite führen, die scheinbar von sparkasse.de stammt. Dort sollen Sie sich einloggen. In Wirklichkeit sind Sie auf einer fremden Webseite, und Ihre Login-Daten werden abgefangen.

Das ist das, was man pishing nennt

(die Fortgeschrittenen mögen verzeihen, aber ich versuche hier Laien aufzuklären).







Hinweis: die Webseite auf der Sie landen, ist natürlich nicht von Sparkasse. Wer genau hinsieht, kann das auch an der URL (der Webadresse) erkennen, der in dem Link "einprogrammiert" ist.


Hinter

www-sparkasse.de/kundenservise/sepa.abteilung

steckt in Wirklichkeit ein Link zu

st
http://www.codesforplndr.com/www.sparkasse.de/sepa-umstellung.htm

Das bedeutet, der Link führt zur Internetpräsenz von www.codesforplndr.com
Diese hat einen Unterordner eingerichtet, der täuschenderweise www.sparkasse.de lautet.


Mit solchen täuschenden Webadressen wird gerne gearbeitet!

Lernen Sie, falsche URL zu erkennen!

ein weiteres Beispiel:

http://kombinacii-pokera.ru/wp-content/www.PAYPAL-LOGIN.com/b5945118cd...

Sie befinden Sich auf der Seite von kombinacii-pokera.ru, eine russische Seite offenbar, die hat eine Unterordner wp-content, und darin einen Unterordner namens www.paypal-login.com.
Wer erst ab dieser Stelle liest, glaubt, er sei bei paypal.

Ähnliche Varianten:

http:/irgendwas.ru/wp-content/dateien/34523456345/blubberblahfasel/www.facebook.com

Hier sind Sie auf www.irgendwas.ru  und nicht auf facebook.com

Eine raffiniertere Variante: die subdomain


 
Die sollten Sie kennen. Auch als Laie. Auch wenn Sie keine Computerkenntnisse sammeln wollen. Aber wie sich eine Webadresse zusammensetzt, ist elementar wichtig für Ihre tägliche Sicherheit im Umgang mit dem Internet und emails.


Ein schönes Beispiel  (willkürlich entnommen aus der Sammlung auf pishtank.com)

http://paypal.com.cgi-bin-websc5.b4d80a13c0a2116480.ee0r-cmd-login-submit-dispatch-5885d80a13c0d.b1f8e26366.3d3fae.e89703d295b4.a2116480e.e013d.2d8494db97095.b4d80a13c0a2116480.ee01a0.5c536656g7e8z.feverugby.com/pp/?cmd=_home&dispatch=5885d80a13c0db1f8e&ee=254f433bab3c834575aed0b3aa1a0e3f

Da ist der Laie zunächst sicher, dass er auf paypal.com ist. Kann er aber nicht sein. Denn dann würde es so weitergehen:

http://paypal.com/....

Also mit einem Schrägstrich am Ende.



Hier geht es aber mit einem Punkt weiter. Also ist papal.com nur eine sogenannte subdomain zu einer anderen domain, die irgendwo weiter rechts auftaucht. Das ist zunächst nichts Unseriöses.

Beispiel für subdomains: 
blog.user-archiv.de/...   
fotografie.user-archiv.de/...

Auch ich als Besitzer von user-archiv.de könnte eine subdomain einrichten, die etwa heißt


www.paypal.com.user-archiv.de/...


Damit es nicht so auffällt, setze ich noch ein paar scheinbare Unterordner dazwischen


www.paypal.com.kundendienst.sepa-umstellung.2436456.user-archiv.de/...

Das liest sich fast wie

www.paypal.com/kundendienst/sepa-umstellung ....

Aber es fehlt der Schrägstrich (Slash).

Der kommt in obigem, besonders raffinierten obigen Beispiel erst seeeeehr spät, erkennbar an der Stelle, an der das erste mal ein Schrägstrich auftaucht:


.......feverugby.com/...
Das ist also die eigentliche domain.  Beziehungsweise eine subdomain dieser domain.

Nun kann es sein, dass ein Betrüger diese domain hat und weitere subdomains eingerichtet hat, von der aus er seine Betrügereien begeht. Auf der Hauptdomain kann er harmlose Sachen setzen, zum Beispiel ein Baustellensymbol oder irgendetwas sonst Belangloses.


Es kann aber auch sein, dass es eine seriöse domain ist, die ein Hacker gehackt hat. Seitdem kann er über Programme die domain fernsteuern, kann sich dort zum Beispiel nicht nur Dateien hochladen, sondern auch subdomains einrichten.

Das könnte hier der Fall sein.

In obigem Beispiel kommt man auf eine Seite, bei der es offenbar um Venezuela geht, und zwar um einen Rugby-Verband. Gut möglich, dass der Verband nichts davon weiß, dass sein Server (das ist der Computer, auf dem die Webseiten lagern) missbraucht wird.




Für Sie ist das aber alles egal. Entscheidend für Sie ist:

Sie sind nicht auf paypal.com, sondern auf einer ganz anderen Webseite.





Wer das WOT-Plugin auf seinem Firefox installiert hat, erhält beim Aufruf der Webseite einen roten Warnhinweis (im Bild links oben) . Klickt man darauf, erhält man die Gründe, warum gewarnt wird. Hier waren es nicht User, die Kommentare hinterließen, sondern WOT hat die Webadresse auf fremden  Blacklist gefunden. Denn WOT ruft regelmäßig die Datenbanken ab, in denen unseriöse Webseiten gesammelt werden (z.B. pishtank.com)


Ich halte es gut für möglich, dass der Betreiber der Webseite tatsächlich seriös ist und für den Rugby-Verband eine Webseite plant. Solche Baustellen-Webseiten sind sowieso beliebt bei Hackern, weil sie oft ungesichert sind, also offen für Fernadministrationen (den Fortgeschrittenen brauche ich das sicher nicht zu erklären).

Hat es Sinn, die Inhaber zu informieren?

Meiner Erfahrung nach: nein.

Ich habe es noch nie erlebt, dass jemand auf einen Hinweis reagiert hat. Ich könnte tausende von Webseiten nennen, die gehackt wurden. Und ich habe im Verlauf der letzten 15 Jahre so einige angeschrieben, zum Beispiel wenn Hacker versucht haben, über deren Webseiten (und weitere Ketten) auch auf meine Server zuzugreifen.

Da gibt es Seiten von Wissenschaftlern, von Vereinen, von Firmen, von Privatleuten, ja sogar von IT-Firmen (was stets besonders witzig ist), die offenbar gehackt sind. Sie brauchen nur mal die Seiten auf www.pishtank.com durchblättern. Ich werde in anderen Aufsätzen in nächster Zeit weitere Beispiele geben.

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP