Die Spur führt nach China ...
Wie ich (technisch) Phishing erkenne.

"Phishing" – sozusagen »Phischen« – ist die Vorspiegelung falscher Links in E-Mails, die zu einem Klick auf eine böse Interneteseite verführen sollen.
   Es empfiehlt sich, seine elektronischen Gesprächspartner immer direkt und von sich aus anzusteuern – am sichersten durch eine selbst verfasste E-Mail –, dennoch bestehen manche Unternehmen darauf, dass man ihnen online über das Netz antwortet. Fragen an einen E-Bay-Verkäufer laufen (zwecks Wahrung seiner wirklichen E-Mail-Adresse) zum Beispiel immer über E-Bay, als Klick. Eine Unsitte. Kurz: Man mag versucht sein, eine über Mail hereingekommene Aufforderung, sich irgendwohin einzuklicken, für seriös halten.
   Das nutzen Phishing-Mails. Ein Beispiel:

Phishing-Mail

Die Nachricht vom »Do 22.06.2006 21:18« kam angeblich von »SPARKASSE 2006 [custsupport_693132@sparkasse.de]«. Wie häufig ist sie formal eine »HTML-Mail«, kann also Bilder und vor allem versteckte Links enthalten. (HTML-Mails sind die zweite moderne Mail-Unsitte: Sie fressen Speicherplatz und können, wie hier, Wölfe im Schafspelz sein.)
   Erstens ist die ganze Nachricht klickbar, was man ihr aber nicht ansieht. Also empfiehlt sich ruhige Mausführung! Hat man aus Versehen draufgeklickt, so beende man den Browser-Bildaufbau so schnell wie möglich mit dem roten X: redX(Keine Angst übrigens: Hier bei mir ist das Beispiel dieser Phishing-Mail ein harmloses Bild und keineswegs klickbar.)
   Hauptsächlich aber enthält die Mail einen Link, der scheinbar auf »sparkasse.de/redirector.webservices.aktuell.index.slot_1/do.asp« verweist. Wer sich mit Internet-Links auskennt, der erkennt darin die Ziel-Adresse: »sparkasse.de«. (Die angesteuerte Domäne ist stets das Blabla.Bla vor dem ersten Schrägstrich.) Der Link ist aber verlogen, wie wir gleich sehen werden.
   Mit etwas Glück mag einem das Mailprogramm ja den wahren Link in einem gelben Kasten anzeigen:

   Man mag sich auch – nach Drücken der rechten Maustaste – den »Quelltext anzeigen« lassen. Doch das ist mühsam.
   Was wirklich hinter dem Link steckt, finde ich folgendermaßen heraus. Ich tue so, als wolle ich auf die Mail antworten. Outlook öffnet mir ein Schreibfenster, in das unten die verdächtige Mail als Referenz einkopiert ist. Nun der Trick: Ich lasse Outlook meine »Antwort« in das Nur-Text-Format wandeln. Danach schaut die Geschichte schon anders aus: Der Klick führt in Wirklichkeit zu http://sparkasse.de.redirector.webservices.aktuell.nulnil.cn/r1/do.asp. Und was steht jetzt vor dem ersten einsamen Schrägstrich? »nulnil.cn«, nicht wahr! Also führte ein
Klick nach cn, China, und dort zu einer Domäne »nulnil«. Meine »Sparkasse« hat sich da wohl in China niedergelassen ... Ein klarer Fall von Phishing.
   Aus Spass kann ich mir noch, etwa über
www.webyield.net/ipqt.php, anzeigen lassen, wer sich angeblich hinter nulnil verbirgt:

Und da fand ich – nichts. (Über www.iana.org/root-whois/cn.htm werde ich auf einen Whois-Server whois.cnnic.net.cn verwiesen, der sich aber nicht meldet.) Endlich werde ich beim CN-Nic tatsächlich fündig (Nic steht für Netzinformationscenter), auf http://ewhois.cnnic.cn/validatecode/validate.jsp?, und gebe nulnil.cn und den nur menschlichen Abfragern sichtbaren Schutzkode ein:

Hier das Suchergebnis:

Wer mag, kann jetzt weiter forschen, nach Linda Lundy, der Autorin von »Kismet«, oder nach Janis E. Barber, den es im Internet nur als 95-jährige Janice gibt ...
   Hat man eine Phishing-Mail erkannt (oder auch nicht), so wende man sich an die deutsche »Phishing-Sammelstelle« an der Uni Bochum:
www.A-I3.De (oder A-I3.Org, nicht AI-3), Telefon 0234-32-28058 (Di, Do 15-18 Uhr). Sie führt eine Phishing-Liste. Ist da die selbst untersuchte Phishing-Mail noch nicht drauf, so melde man sie gefälligst mit einer Mail an report@a-i3.org.

Jedoch genug – wenn das nicht Phishing ist, bitte ich um Nachricht, und überhaupt: Fritz@Joern.De.

Juni 2006
Weitere Tipps
Zur Homepage