von Stefan Kubrik
Kolumnist für VPN, Antiviren und Hackerkultur
Die übliche Spam-E-Mail flattert in das Postfach von Millionen von Nutzern: Die afrikanische Erbin aus der Fantasie-Stadt Mongodscha möchte hunderte Millionen schnell nach Europa schieben und braucht Hilfe. Allerdings ist die Nachricht voller Grammatikfehler. Man fragt sich: Wenn die Cyberbetrüger sich schon solche Mühen machen, wieso sind sie nicht wenigstens in der Lage einen korrekt ausformulierten Beitrag zu verfassen?
So manch Schlauer hat eine Antwort darauf: Die Spammer möchten sicherstellen, dass diejenigen, die darauf reinfallen, auch wirklich zu der naiven Zielgruppe angehören — denn nur diese seien auch bereit auf eine solche E-Mail reinzufallen.
Die Antwort erscheint logisch, doch sie hat einen Haken: Sie ist schlichtweg nicht richtig. Tatsache ist, dass diese Spammer letztlich niemanden zur Verfügung haben, der bei der Formulierung der deutschen Sprache behilflich ist. Es versteht sich von selbst: Würde ein eloquenter Deutscher mit einer guten Ausbildung afrikanischen Spammern dabei helfen die eigenen Bürger zu betrügen? Das ist so, als würde jemand aus Nordkorea einen gut ausgebildeten Deutschen bitten, sein Erpressungsschreiben an eine deutsche Persönlichkeit zu lektorieren — für 10 Euro. Wohl kaum.
Der Social-Media-Experte Austin Farley hat eine andere Idee bei seinem Vortrag auf der re:publica: Was, wenn die Spammer statt eine Million nur einige hundert Dollar versprechen würden? Was, wenn die Spammer sich als eher eine langweilige Gelegenheit darbieten? Und was, wenn sie sich nicht als eBay, Paypal und Amazon ausgeben, sondern als ein Nischenangebot? Die Idee ist nicht abwegig: Je geringer die Summe, desto höher die Wahrscheinlichkeit aus psychologischer Sicht, dass die Nachricht echt sein könnte.
Dieser Methodik gehen nun tatsächlich einige Spammer nach, die nun nach dieser „smarten“ Methode versuchen Bürger in Europa und Ländern wie USA, Kanada und Australien mit ausgefeilten Tricks zu schwindeln.
Die besten VPN Tools 2024
Anzeige | Gesponserte Angebote
5,0 
4,9
4,9
Die Mirror-Taktik
Sogenannte Mirror-Sites sind besonders beliebt, um an Daten von Nutzern zu gelangen. Der destruktive Hacker identifiziert bekannte Websites, kopiert sie auf eine andere Domain, und lockt schließlich Nutzer mit einer illegalen E-Mail-Kampagne an. Die Strategie dahinter: So legitim wie möglich erscheinen.
Die „smarten“ Hacker sind vor allem auf der Suche nach solchen seriösen und populären Angeboten. Auch Vesicherungs-Portale können ein beliebtes Ziel von Hackern sein. Die Hacker kopieren die Website auf eine andere Domain, z. B. „vhvhausratversicherung.com“ — wie man hier sieht wurde die Schreibweise der Original-Domain verändert — und erwecken dadurch den Eindruck, dass es sich um das Originalportal handelt. Am Ende der Kette soll der Nutzer nun aus dieser Fake-Website ein Kredit buchen und schließlich die erste Zinszahlung überweisen — das Geld geht jedoch an das Auslandskonto des Betrügers.
Bislang waren nur die großen Anbieter vor solchen Mirror-Aktionen betroffen. So haben Hacker vor allem die Login-Sites von Paypal (paypal.com/us/signin) kopiert, um dort die Login-Daten der Nutzer zu ergattern. Doch immer mehr Fälle werden bekannt, bei denen auch Nischenangebote genutzt werden, um eben nicht zu auffällig als Spammer erkannt zu werden. So sind Versicherungsangebote im Visier der Hacker.
Wie kann man sich schützen?
In letzter Zeit haben sich Hacker vor allem auf Finanzinstitute fokussiert: Kredit- und Versicherungsangebote sind besonders gefragt.
Der gesunde Menschenverstand ist die wichtigste Waffe, um Betrüger zu erkennen. Erfahrungsgemäß werden Domains, die mit .de enden selten von Spammern genutzt, da in der Regel ein deutscher Host notwendig ist, um .de-Domains zu registrieren. Hier haben Spammer oft eine kurze Halbwertszeit, da bereits nach der ersten E-Mail-Aktion die Site von deutschen Providern abgeschaltet wird.
Letztlich jedoch sieht man immer am Domainnamen, dass etwas nicht stimmt. Würde man beispielsweise sich auf einer gefälschten Fantasie-Domain aufhalten, wie z. B. check24.dk32d9lsw2.com/hausratversicherung/, sollten sofort alle Alarmglocken läuten, dass es sich nicht um das Originalportal check24.de handeln kann.
Es gibt eine gute Nachricht: Die heutige Internet-Community zu überlisten wird für destruktive Hacker immer schwieriger. Oft sind solche Angebote von kurzer Dauer. Meist sind es die Nutzer, die sofort den Betrüger an die jeweiligen Stellen melden, die dann die Domain sofort wieder aus dem Netz nehmen. In den meisten Fällen sind die Domains wieder ungültig, bevor ein Nutzer darauf reinfallen konnte.
von Stefan Kubrik
Stefan Kubrik ist Informatiker und Experte für VPNs, Computerviren und Hackerkultur. Stefan forscht unter anderem für das Fraunhofer Institut und entwickelt Software zur selbstständigen Entdeckung von Computerviren und Trojaner durch die Anwendung von künstlicher Intelligenz.
Er war zuvor wissenschaftlicher Mitarbeiter an der Technischen Hochschule Köln, studierte Technische Informatik, und veröffentlicht regelmäßig in Fachzeitschriften, darunter das PC Magazin und digitalwelt.
Kolumnist für VPN, Antiviren und Hackerkultur
