Sicherheit

Tester gesucht: Das neue iPhone 7 – Hier ist es kostenlos & ohne Vertrag

iphone-7-promo
geschrieben von Markus Werner

„Apple hat das neue iPhone 7 rausgebracht. So bekommen Sie es als erstes, kostenlos und ohne Vertrag: 1.) Testen Sie diese Seite 2.) Sie bekommen für den Test 1200,00 Euro auf Ihr Konto 3.) Kaufen Sie sich Ihr Wunschhandy Nie war es einfacher und schneller, denn in nur 48 Stunden erhalten Sie das Geld auf Ihr Paypal oder Girokonto. Haben Sie Fragen? Einfach kurz auf der Seite anmelden, wir rufen zurück!“

Na, neugierig geworden? Dann bist du mir auf den Leim gegangen. Diese anrüchige Headline und der unglaubliche Anreißer sind nicht nur Clickbait, sondern eben jener Text landete gestern in meinem E-Mail-Postfach. Der Absender war ein gewisser „Tester gesucht“. Natürlich handelt es sich bei dieser Mail um reinen Spam – Phishing und Abzocke inbegriffen – der aber darauf aus ist, unsere Neugierde zu wecken.

iphone7-spam-phishing

Phishing-Mail für ein angeblich kostenloses iPhone 7

Wie gut das funktioniert, hast du selbst gerade erlebt. Unsere Neugier lässt uns manchmal über unser Sicherheitsbewusstsein hinwegsehen und lockt uns in die Falle. Das geht aber nicht nur dir so, sondern uns allen – mich eingeschlossen. Dass das Geschäft mit der Neugierde funktioniert, haben erst jüngst zwei kleine, aber feine Studien erneut bewiesen.

Da liegt ein USB-Stick auf dem Boden – was mag da drauf sein?

Elie Bursztein, Leiter des Google Anti-Abuse-Teams präsentierte auf der Sicherheitskonferenz Black Hat USA seine Studie über herumliegende USB-Sticks (PDF). Auf dem Campusgelände der Universität von Illinios verteilte er zusammen mit Kollegen rund 300 USB-Sticks. Die Sticks waren beispielsweise auf dem Parkplatz, in Hörsälen oder Fluren zu finden. Um die Massenspeicher noch attraktiver zu gestalten, wurden diese mit Aufschriften, wie „Finale Prüfungsergebnisse“ oder „Vertraulich“ versehen.

Auf den Sticks waren einige HTML-Dateien, die sich als Word-Dokument oder Bild-Datei tarnten. Öffnete einer der Finder eine dieser Dateien, konnten die Sicherheitsforscher den Zugriff erfassen. Außerdem lagerte auf den Sticks in einer Datei eine Erklärung zu dem Experiment und ein Link zu einer Studienumfrage.

Das Ergebnis: 98 Prozent aller verteilten USB-Sticks wurden eingesammelt. Rund die Hälfe der Finder hat den USB-Stick angeschlossen. 45 Prozent haben Dateien auf dem Speichermedium geöffnet. Als Grund für das Anschließen des USB-Sticks gaben 68 Prozent an, Informationen über den rechtmäßigen Besitzer herauszufinden. Eine noble Geste, die schnell nach hinten losgehen kann. Denn über Flashspeicher lassen sich wunderbar Trojaner, Viren oder anderes Kleingewürm verteilen. Überraschenderweise hatten 86 Prozent der Finder keinerlei Sicherheitsbedenken.

Bei 18 Prozent siegte schlussendlich die Neugier. Zugegeben Malware-Angriffe mit USB-Sticks sind selten. Aber im Alltag kommt es öfter mal vor, dass wir unbedarft fremde Massenspeicher anschließen und dadurch mitunter unbewusst Schadsoftware wandert. Hier würde es beispielswesie schon weiterhelfen USB-Stick nur „read-only“ an den Computer anzuschließen und auf Viren zu prüfen. Ansonsten ist äußerste Vorsicht geboten.

Die Partybilder von gestern sind da, schau mal auf Facebook

Sicherheitsforscher der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) untersuchten das Klickverhalten auf Links, die via E-Mail oder Facebook-Nachricht verschickt wurden. Die Studie erfolgte in zwei Etappen. Die Forscher erstellten auf Facebook einige Fake-Profile mit und ohne Profilbild und verwendeten die zehn gebräuchlichsten Namen der Zielgruppe. Dann verschickten sie an 1.700 Studierende der Fakultät Mitteilungen, in denen ein Link zu angeblichen Party-Fotos der vergangenen Woche enthalten war.

Die Probanden wurden einmal mit und einmal ohne Vornamen angesprochen. Dafür gab es jedoch konkrete Informationen zur Party. Ziel war es, eine sogenannte „Spear Phishing“-Attacke zu simulieren. Klickte ein Opfer auf den Link, landete er auf einer harmlosen Seite, die eine „Zugriff verweigert“-Mitteilung zurückgab – jeder Aufruf wurde von den Forschern erfasst.

Das Ergebnis: Im ersten Anlauf wurden die Kandidaten mit Vornamen angesprochen. So klickten 56 der Mail-Empfänger und 38 Prozent der Facebook-Nutzer auf den Link. In der zweiten Runde wurde auf eine personalisierte Anrede verzichtet. Nun klickten nur noch 36 Prozent der Mail-Empfänger, dafür aber 42 Prozent der Facebook-User, um die vermeintlichen Partybilder zu sehen. Im Anschluss mussten alle Testprobanden einen Fragebogen ausfüllen. Darin wurden sie nach ihrem Sicherheitsbewusstsein und dem Grund für den Klick befragt.

Lediglich 20 Prozent gaben an, geklickt zu haben, obwohl es im Schnitt 45 Prozent waren. Interessanterweise gaben 78 Prozent an, sich der Sicherheitsrisiken bewusst zu sein. Trotzdem klickten 34 Prozent aus reiner Neugierde. Andere gaben an, jemanden mit dem Namen zu kennen oder vergangene Woche auf einer Party gewesen zu sein und die Nachricht für plausibel hielten.

Studienleiterin Zinaida Benenson sagte, „Ich denke, mit sorgfältiger Planung und Ausführung kann jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier.“ Außerdem wird deutlich, dass der Name auf Facebook keine große Rolle spielt. Benenson hält wenig von Mitarbeiterschulungen. In ihren Augen wäre es ein Schritt in die richtige Richtung, wenn legitime E-Mails von Unternehmen nicht wie Spam- oder Phishing Mails aussehen würden. Dem kann ich nur bedingt zustimmen, da auch Mail-Spam immer professioneller und perfider wird.

Wie wirksam sind Sicherheitstipps oder gar Sensibilisierung?

Auch wenn der Mensch von Natur aus ein neugieriges Wesen ist, sind sowohl Sicherheitstipps als auch Schulungen trotzdem sinnvoll und sehr wichtig. Sie schaffen immerhin ein gewisses Sicherheitsbewusstsein, auch wenn es bei Benensons Studie missachtet wurde. Es geht eher darum, wie diese Sichtweise vermittelt werden sollte. Denn auch Verbote sorgen oftmals dafür, dass wir gekonnt gelerntes ignorieren.

Der Reiz des Verbotenen hat mitunter auch eine verlockende Wirkung. Daher empfiehlt es sich vielleicht, anstelle solcher Aussagen, wie „Öffne keine Dateianhänge aus dubiosen Mails“, lieber zu sagen, „Das Öffnen von Dateianhängen aus dubiosen Mails, kann deinen Computer infizieren.“ Damit wird kein Verbot ausgesprochen, dafür explizit auf die Gefahr hingewiesen.

Lässt sich unsere Neugierde austricksen?

Wie Zinaida Benenson schon sagte, kann jeder von uns dazu gebracht werden, auf einen Link zu klicken. Desto professioneller und glaubwürdiger die Spam-Mail auf einen wirkt und je mehr Interesse sie in einem weckt, umso wahrscheinlicher ist der gefährliche Klick. Dagegen gibt es kein „Heilmittel“. Allerdings lässt sich unsere Neugier zügeln.

In Unternehmen würde beispielsweise der regelmäßige Versandt von gefakten Spam-Mails an Mitarbeiter dafür sorgen, dass diese mehr und mehr das Interesse an solchen Nachrichten verlieren und sie zudem besser erkennen können. Ein Risiko besteht nicht, da der harmlose Spam quasi kontrolliert verschickt wird.

Aus meiner persönlichen Erfahrung heraus hat meine Neugier mit der Zeit nachgelassen. Wenn du fast täglich Spam-Mails bekommst, dann lässt das einen irgendwann kalt. Die Inhalte lese ich trotzdem, da sie mitunter ganz unterhaltsam sind. Da ist schon mal die Rede von einem geschenkten Smartphone, einem Millionengönner oder aber einer super günstigen Krankenversicherung.

Neugierig bin ich nur insofern, dass ich wissen will, was hinter den Links steckt. Doch hierzu bedarf es einer sicheren Testumgebung – ansonsten geht’s schief!

swiss-methode-fake

Das steckt hinter der iPhone 7 Spam-Mail

Im Falle der anrüchigen iPhone 7 Spam-Mail fand ich heraus, dass die in der Mail verlinkte Webseite laut Virustotal scheinbar virenfrei ist, dafür aber eine satte Lüge verkauft. Die Anmeldung ist kostenlos und soll durch Sicherheitssymbole von VeriSign, TRUSTe und McAfee Secure Sicherheit vorgaukeln. Dabei läuft die Webseite nicht mal über HTTPS. Wahrscheinlich werden bei Registrierung die eingeben Daten abgegriffen – Vorname, Nachname, Mail-Adresse, Passwort und Handynummer. Geld gibt’s nach der Anmeldung keins, das darfst du selbst einzahlen und siehst es dann wohl nie wieder.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

6 Kommentare

  • Naja, immer und überall wachsam sein.
    Man will einen ja nicht nur mit iPhone und Co. an die Angel kriegen, sondern auch mit Bankmails und Co., es wir einfach alles versucht.
    Das Problem ist, irgendwann sitzt man mal verkatert, oder noch nicht nüchtern, an der Maschine, liest seine Mails durch und stoisch folgt man den Teilen. Im Normalzustand passiert sowas zum Glück nicht. Diese Mails sind teilweise sehr professionell gestaltet, daher: „Kenn ich nicht, mag ich nich.“

    • Da stimme ich dir weitestgehend zu. Die Spammer haben da ein sehr weitreichendes Angebot. In den meisten Fällen wird man es merken, aber es kann eben auch mal die eine Mail geben, die einen in die Falle lockt.

  • Genau diese – oder ähnliche – Mails erhalte ich seit Monaten fast täglich.
    Das Interessante darin ist die Anrede mit Kundennummer, die in jeder Spam-Mail, egal von welchem Absender oder mit welchem Thema gleich ist.

    Dieser Spam macht sich nicht mal die Mühe, authentisch zu werben, jeder Empfänger hat seine feste Kundennummer und wird auch so angesprochen.

    Das macht es relativ einfach, den Spamfilter so zu programmieren, dass diese Mails rausgefischt werden. Dennoch würde mich total interessieren, warum dieses Spamsystem eine feste Kundennummer vergibt und diese auch noch in jeder Mail preis gibt.

    Ansonsten: Nette Clickbait-Überschrift, ich habe erst draufgeklickt, nachdem ich in den Facebook-Kommentaren gelesen habe, dass etwas sinnvolles dahinter steckt.
    Mich würde wahnsinnig interessieren

    • Stimmt, dass mit der Kundennummer ist mir auch schon aufgefallen. Ich habe mir mal die paar Mails, die ich bekommen haben, etwas genauer angeschaut. Die E-Mails kommen zumeist von einer Domain, die nach folgendem Muster aufgebaut ist: sZAHL.DOMAIN.com. Vermutlich stecken hinter all diesen Spam-Mails dieselben Drahtzieher. Vielleicht haben Sie nur die Mail-Adressen ergattert und ansonsten keine Namen oder so. Mit personalisierter Anrede würde das Ganze natürlich nochmal „glaubwürdiger“ rüberkommen.

      Wegen der identischen Kundennummer ist es folglich ein leichtes diese Mails herauszufiltern.

      Danke 😉

  • Das mit den USB Sticks funktioniert tatsächlich, das ist fast schon zu einfach darüber einen Schädling in eine Firma zu bekommen. Man muss die Dinger einfach auf dem Firmenparkplatz verteilen und warten.

  • Ein gutes Beispiel, dass Clickbait gut funktioniert. Ich finde es nur komisch, dass eine un-personalisierte Mail Nutzer bei Facebook ansprechen konnte, wo doch Facebook schon Profildaten ausgeben kann… 😉 Aber ein guter Beitrag, der mir einige Informationen gebracht hat. Und in den Google-News direkt nach der Keynote angezeigt wurde. MfG

Kommentieren