Marcel Waldvogel

Phishing-Trend Schweizerdeutsch

Collage von Phishing-Loginseiten

Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden kennenzulernen. Und danach – viel wichtiger – was wir tun können, um uns zu schützen.

Dieser Artikel erschien ursprünglich bei DNIP unter dem Titel «Schweizerdeutsch liegt im Trend – auch bei Phishing».

Mehrere Personen in meinem Umfeld haben vor einigen Wochen scheinbare Mahnungen von Hostpoint erhalten, des laut eigenen Angaben «grössten Webhosting-Anbieters der Schweiz».

Auffallend daran: Der Text war auf Schweizerdeutsch, zumindest auf den ersten Blick. Und er kam von einer hostpoint.ch-Mailadresse. Gehen wir beiden doch einmal auf den Grund.

Schutz gegen Spam und Phishing: Wie?

Wir alle haben wahrscheinlich schon von Spam und Phishing im Namen fast aller in der Schweiz verbreiteten Firmen gehört, vielleicht sogar selbst bekommen. Dagegen tun kann die imitierte Firma kaum etwas. Auch das öffentliche Warnen vor einer gerade laufenden Spam-Kampagne ist nur beschränkt hilfreich. Denn das Muster ist immer wieder dasselbe, genau wie die Massnahmen dagegen.

Und unabhängig von der jeweils missbrauchten Firma. Das Verfassen einer Medienmitteilung bringt meiner Meinung nach auch nichts, das Aushängeschild der jeweiligen «Kampagne» zu nennen.

Spam, Phishing und sonstige bösartige bzw. Betrugsmails müssen unabhängig von der aktuell betroffenen Firma bekämpft werden.
Auch wenn hier der Name von Hostpoint erwähnt wird: Ihr Umgang mit der Phishing-Aktion erschien mir sehr professionell und die Entscheide gut begründet.

Und trotzdem gibt es in diesem Fall einige Unterschiede, die eine Erklärung rechtfertigen.

In diesem Fall müsste aber Hostpoint alle Empfänger kennen, denn die Mails liefen alle durch ihre Mailserver. Und Hostpoint könnte alle Empfänger informieren. Dies ist aber nicht erfolgt. Doch dazu später mehr.

Schweizerdeutscher Spam

Wieso?

Vermehrt habe ich in letzter Zeit Spammails in unserem heimischen Dialekt gesehen, an mich oder an Freunde und Familie gerichtet. Beim genaueren Hinschauen sieht man aber, dass zwischen vielen Wörtern, die als Dialekt durchgehen, auch einige sind, die wir nur in Hochdeutsch nutzen.

Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,

In diesem Falle klingt beispielsweise die weibliche Anrede («Sehr geehrti Kundin») halbwegs plausibel, ihr männliches Gegenstück jedoch überzeugt nicht («sehr geehrte Kunde»). Auch «Letzti» im Titel klingt falsch eingeschweizert; «aufgrund» im Text rein hochdeutsch.

Schweizerdeutsch = Sammlung von Tippfehlern

Aber wieso kommt überhaupt jemand auf die Idee, in einer so obskuren Sprache unerwünschte Mails zu verschicken? Genau weiss ich es nicht, weil ich die Bösewichte dahinter nicht befragen konnte. Obviously. Aber wir sehen ein Muster. Hier ein paar Spams der letzten Woche an mich für «Herrenmedikamente». Auffällig ist die – sagen wir mal – kreative Verunstaltung des Wortes «rezeptfrei».

Screenshot aus einem Spam-Mailordner, in dem verschiedene Absender angeblich rezeptfreie Medikamente anbieten. Dabei ist "rezeiptfrei" jedesmal anders getrennt.

Schauen wir doch einmal eine dieser Mails an:

Screenshot einer Spammail. Gross geschrieben: Achtung! Rest normal klein geschrieben: Guten Abend marcel, marcel, da kann ein Mann nur depressiv werden, wenn im Bett nichts mehr geht und man nichts dagegen unternehmen konnte, wie es zu frueheren Zeiten ueblich war. Das ist gluecklicherweise endlich anders, denn unerwuenschte Problem e sind mit Arzneimitteln sicher und einfach zu beheben und gehoeren damit der Vergangenheit an! Der fruehzeitige Orgasmus wird durch die blauen Originale sicher ausgeschlossen. Also endlich wieder ein Liebesspiel an dem man sich erfreuen kann, ohne staendig daran zu denken, dass Ihre Partnerin keinen Orgasmus bekommt. Absolut unverstaendlich, dass Sie ueberteuerte Preise zahlen muessen obwohl es bei uns, inkl. kostenloser Lieferung direkt in Ihren Briefkasten, viel billiger ist? Hier bestellen! Mit gutem Gruss Direktor Wilhelm Mohnhaupt

Beim Lesen fällt irgendwann auf, dass es um eine angebliche Lieferung von Viagra geht. Doch das Wort selbst wird nie erwähnt. «Die blauen Originale» und der Kontext müssen reichen. (Übrigens ist der Text und die Umschreibung der Pille in jeder der «rezeptfrei»-Mail anders, folgt aber demselben Aufbau.)

Das Ziel der Falschschreibungen (Bindestriche mitten im Wort), Fremdschreibungen (Dialekt) und Umschreibungen ist dasselbe: Spamfilter sollen diese Worte nicht erkennen. Denn in fast jedem Mailverkehr (ausser vielleicht bei Ärzten) ist «Viagra» ein Wort, das mit hoher Wahrscheinlichkeit auf Spam hindeutet.

Ob die Vermeidung der Umlaute zur Verschleierung oder aus Unfähigkeit geschieht, kann ich nicht sagen. Die Verwendung von ähnlich aussehenden Zeichen aus anderen Schriftsystemen zur Täuschung (Kyrillisch, Griechisch, Türkisch, …) scheint hingegen bei Mails aus der Mode gekommen zu sein, wahrscheinlich weil die Anti-Spam-Software diese Ausreisser inzwischen sehr einfach erkennen kann.

Dass das mit den Umlauten auch andersherum schiefgehen kann, zeigt folgender angebliche digitale Bussenzettel: Da wird Schweizerdeutsch «Buess» zu «Büss» und es gibt dafür die eindeutig nicht schweizerischen Worte «Bußgeld» und «Geschwindigkeitsverstoß».

Schweizerdeutscher Spam: Wie?

Das muss doch sicher teuer sein, wenn Spammer den Text in jede mögliche oder unmögliche Sprache übersetzen. Ja, echte menschliche Übersetzer wären ein Kostenpunkt. Aber wahrscheinlich noch mehr auch ein Risiko, weil sie könnten die Scammer ja verpetzen.

Deshalb sind die heutigen «Übersetzer» bei solchen Betrügereien meist Chatbots wie ChatGPT & Co. Und denen kann man auch Schweizerdeutsch als Zielsprache angeben. Das Resultat ist aber – vor allem bedingt durch die wenigen Webseiten in Schweizerdeutsch, die als Trainingsmaterial dienen könnten – noch eher bescheiden. Aber scheinbar reicht das.

Der LLM-Chatbot als williger Gehilfe ohne überflüssige Ethik. Leider nicht nur hier.

Von eigener Maildomain

Hostpoint bietet – wie viele andere Webhoster – Kombipakete an. Hier interessiert uns das Zusatzangebot mit Email-Konten. Die Scammer wollten eine gezielte Phishing-Attacke starten. Dazu verwendeten sie mutmasslich eine Liste mit Abermillionen von Emailadressen, wie sie unter Spammern gehandelt werden. Unsere Bösewichte nutzten nun nicht einfach wahllos Mailadressen, sondern nur solche, deren Domain auch bei Hostpoint gehostet war. (Dies kann man beispielsweise daran erkennen, dass als Web- oder Mailserver der Domain einer der Hostpoint-Server eingetragen ist.)

Wir sind uns gewohnt, dass die Nutzung einer Fremddomain ein gutes Spam- bzw. Phishing-Indiz ist: In fast allen Fällen stammen Betrugsmails, die vorgeben, von Firma X zu kommen, nicht von einer (Mail-)Domain der Firma X. Dies, weil heute Mails, die vorgeben, von user@beispiel.ch zu kommen, auch von einem Mailserver versendet werden müssen, der vom Domaininhaber von beispiel.ch autorisiert wurde. Vor 10-20 Jahren war das allerdings noch ganz anders.

In diesem Fall konnte allerdings der Spammer Zugriff zu einem Kundenkonto bei Hostpoint erlangen und deshalb von dort Mail verschicken, wie mir Hostpoint auf Anfrage mitteilte. Bei Hostpoint geht man davon aus, dass der Kunde auf eine Phishingmail hereingefallen sei.

Bei Hostpoint hat – im Gegensatz zu anderen Providern – jedes Kundenkonto neben der normalen Mailadresse eine historisch bedingte Mailadresse der Form <ZUFALLSNAME>@webuser.mail.hostpoint.ch. Über diese kann aber nur eine beschränkte Anzahl Mails pro Stunde verschickt werden, was das Ausmass des Missbrauchs einschränkt. (Hostpoint plant weitere Massnahmen.)

Wenn die Mail aber – wie in diesem Fall – über die Mailinfrastruktur des Providers läuft, liessen sich auch die Empfängeradressen der Mails identifizieren. Denn die meisten Mailserver führen ein Logbuch über die über sie versendeten Mails. Anhand der Absenderadresse hätten im Logbuch die Empfänger identifiziert werden können.

Fassen wir zusammen: Ein Konto eines Hostpoint-Kunden wurde gehackt. Dieses Kundenkonto wurden dann benutzt, um Mails an andere bei Hostpoint gehosteten Mailkonten zu senden. Diese Zieladressen wurden wahrscheinlich aus einer Liste ausgewählt, die die Spammer sich im Darknet beschafft hatten.

(Allerdings war dann aufgrund der von Hostpoint eingestellten Limiten nach «einer tiefen einstelligen Prozentzahl» der Kunden Schluss mit Mailversand.)

Auf die Frage, weshalb die von den Betrügern angeschriebenen Kund:innen nicht proaktiv informiert worden seien, antwortete Hostpoint wie folgt:

Wir haben in der Vergangenheit auch schon die Kund:innen per E-Mail proaktiv über Phishing informiert und zum Thema sensibilisiert. Allerdings tun wir dies aus verschiedenen Gründen nicht in jedem Fall, sondern meist dann, wenn die Phishing-Wellen sehr gross sind. Wir betreiben jedoch über diverse Channels wie Social Media oder unseren Blog regelmässig Anti-Phishing-Awareness. Über aktuelle Phishing-Fälle informieren wir jeweils auf unserer Website unter https://www.hostpoint.ch/phishing/, auf unserer Status-Seite https://www.hostpoint-status.com/ oder auch über gesprochene Botschaften, die wir bei unserer Hotline zu Beginn eines Anrufs abspielen. Dieses Zusammenspiel verschiedener Kommunikationsmassnahmen hat sich für uns seit Jahren bewährt.

Mediensprecher Hostpoint

Diese Erklärung erscheint durchaus nachvollziehbar. Insbesondere, wenn man bedenkt, dass viele der Empfänger:innen der Mails gar keine Verantwortung für die Domain besitzen, sondern «normale» Nutzer:innen sind, die durch die Nachrichten evt. noch mehr verwirrt worden wären.

Wie erkenne ich Spam und Phishing?

Einige typische Erkennungsmerkmale für Spam und Phishing sind. (Eine 12-Punkte-Liste für Betrugserkennung hatten wir letztes Jahr präsentiert.)

Stimmen die Domains?

Die wichtigsten ersten Schritte sollten

  1. Sieht die Absenderdomain legitim aus? Auch kein Tippfehler?
  2. Wird eine unübliche Top-Level-Domain verwendet? Also ist der letzte Teil hinter dem letzten Punkt nicht .ch, .li oder .com?
  3. Wird in der Mail eine andere Maildomain erwähnt, als die, von der die Mail angeblich stammt?
  4. Gehen die Links in der Mail auf nochmals andere Domains?

Viele Mailprogramme auf einem Desktoprecher oder Laptop zeigen die Ziel-URL eines Links an, wenn der Mauszeiger über dem Link schwebt. Im Bild unten ist das kleine schwarze Händchen im blauen Feld der Mauszeiger und das schwarze Rechteck darunter mit weisser Schrift erscheint, um die URL anzuzeigen.

Auf Mobilgeräten erhält man diese Information oft, wenn man lange mit dem Finger auf den Link drückt.

Leider ist das auch eine Unsitte von gewissen Newsletters, dass die URLs nicht auf das Ziel zeigen, sondern auf einen Server, der die Zugriffe trackt. Es wäre gut, wenn diese Newsletters das über ihre eigene Domain erledigen würden.

Dein Paket zur Bestellung 92125004 wurde versandt Sehr geehrti Kundin, sehr geehrte Kunde, Mir möchten Sie informiere, dass d'Erneuerig vo Ihrer Domain [anonymisiert] für s'Jahr 2025 no usstoht. D'Zahlig isch aufgrund vo enere abglehnte Zahligsmethode nid erfolgriich gsi. D'Erneuerigsgebühr betrait CHF 02.99. Bitte erneuere Sie Ihre Domain so schnäll wie möglich, um en Deaktivierig z'verhindere: Domain jetzt erneuere Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert und alli Dienstleistige eingestellt. Für Unterstützig stot Ihnen unser Support-Team gern zur Verfüegig. Mit freundliche Grüess,

Kommt die Mail unerwartet?

  1. Kommt die Mail unerwartet?
  2. Wird darauf verwiesen, dass die Mail an eine verantwortliche Person weitergeleitet werden soll?

Wird Druck aufgebaut?

  1. Ist die Mail dringend? («So schnell wie möglich», «Ihr Konto wurde bereits deaktiviert», …)
  2. Wird emotionaler Druck aufgebaut? Für etwas, was zumindest peinlich ist und man deshalb niemanden fragt, ob die Mail jetzt echt ist? («Wir haben Sie ertappt bei …»)
  3. Scheint es zu gut um wahr zu sein?

Wenn einer oder mehrere der obigen 9 Punkte zutreffen, sollten Sie unbedingt eine zweite Person ins Vertrauen ziehen, bevor Sie handeln («4-Augen-Prinzip»).

Phishingerkennung mittels KI-Sprachmodellen

Viele dieser Chatbots auf Basis Grosser Sprachmodelle (Large Language Model, LLM) können bei der Analyse von Phishing unterstützen. Sie sind kein Ersatz für eine seriöse Abklärung, können aber helfen, einige Argumente aufzuzählen.

So hat des KI-Modell Perplexity sowohl bei der Viagra-Mail als auch bei der Hostpoint-Phishingmail relativ viele Punkte erkannt. Der Prompt begann immer mit «Was sind Anzeichen für/gegen Phishing in folgender Mail:» gefolgt entweder

  1. vom Text der Viagra-Mail (ohne Kopfzeilen, also nur der Text der Mail) oder
  2. von der gesamten angeblichen Hostpoint-Mail (mit Absender- und Empfängeradressen, Betreff und Datum).
Die von Ihnen zitierte E-Mail weist zahlreiche Anzeichen für Phishing und betrügerische Absichten auf. Im Folgenden finden Sie eine Analyse der wichtigsten Merkmale: Anzeichen FÜR Phishing Unpersönliche und unseriöse Ansprache Die E-Mail spricht Sie zwar mit Vornamen an, wirkt aber insgesamt sehr unpersönlich und pauschal. Die Formulierung ist plump und aufdringlich, typisch für Massenmails. Druckaufbau & emotionale Manipulation Die Nachricht versucht, durch Scham und Angst (z.B. "da kann ein Mann nur depressiv werden") Druck aufzubauen. Solche Taktiken sind typisch für Phishing und Spam. Werbung für Medikamente Der Verkauf verschreibungspflichtiger Medikamente über E-Mail ist illegal und ein sehr häufiges Merkmal von Phishing oder Betrug. Fehlende Kontaktdaten & Impressum Es fehlen vollständige Kontaktdaten, Impressum oder rechtliche Hinweise, wie sie seriöse Anbieter angeben müssen. Sprachliche Auffälligkeiten Die E-Mail enthält zahlreiche Rechtschreib- und Grammatikfehler ("unerwuenschte Problem e", "fruehzeitige Orgasmus", "mit gutem Gruss"). Auch die Formatierung ist schlampig. Aufforderung zum Klick auf einen Link "Hier bestellen!" ist vermutlich ein Link, der auf eine betrügerische Seite führt. Solche Links können Schadsoftware verbreiten oder Daten abgreifen. Unbekannter Absender Der Name "Direktor Wilhelm Mohnhaupt" ist vermutlich erfunden und taucht in keinem seriösen Zusammenhang auf.
Erster Teil der Perplexity-Antwort für die Viagra-Mail (Mail ohne Absender/Empfängeradresse)
Anzeichen GEGEN Phishing (also für Seriosität) Es gibt keine echten Anzeichen für Seriosität in dieser Mail. Es fehlen: Firmenlogo, korrekte Kontaktdaten, persönliche Ansprache mit Nachnamen, Bezug zu einer bestehenden Kundenbeziehung, rechtliche Hinweise. Fazit & Empfehlung Die E-Mail ist mit sehr hoher Wahrscheinlichkeit Phishing/Spam und sollte ignoriert und gelöscht werden. Klicken Sie keinesfalls auf Links und geben Sie keine persönlichen Daten preis. Wenn Sie unsicher sind, können Sie: Die Absenderadresse überprüfen (oft kryptisch oder unseriös). Die Mail bei Ihrem E-Mail-Anbieter als Spam melden. Im Zweifel einen IT-Experten fragen. Merke: Seriöse Firmen verschicken keine Werbung für verschreibungspflichtige Medikamente per E-Mail und schon gar nicht in dieser Form!
Teil 2 der Perplexity-Analyse der Viagra-Mail
Hier ist eine Analyse der Anzeichen für und gegen Phishing in der genannten E-Mail: Anzeichen FÜR Phishing Absenderadresse verdächtig Die Adresse „[ANONYMISIERT]@webuser.mail.hostpoint.ch“ wirkt unecht und ist nicht die offizielle Support-Adresse von Hostpoint. Seriöse Firmen nutzen in der Regel Adressen wie support@hostpoint.ch. Betreff mit Rechtschreibfehlern „Erneuere Sie lhre [ANONYMISIERTE DOMAIN] – Letzti Warnig“ enthält mehrere Fehler („Erneuere Sie“, „Letzti Warnig“), was bei offiziellen Mails äußerst ungewöhnlich ist. Viele Rechtschreib- und Grammatikfehler Die Mail ist voller Fehler und wirkt wie eine maschinelle oder schlecht übersetzte Nachricht („Sehr geehrti Kundin, sehr geehrte Kunde“, „Mir möchten Sie informiere“, „D'Erneuerigsgebühr betrait CHF 02.99“ usw.). Ungewöhnlich niedriger Betrag Die Gebühr von „CHF 02.99“ ist auffällig niedrig für eine Domain-Erneuerung und dient vermutlich dazu, Misstrauen zu vermeiden und schnelle Zahlung zu provozieren. Dringlichkeit und Drohung Es wird Druck aufgebaut („so schnäll wie möglich“, „Deaktivierig z'verhindere“, „Ohni rechtlichi Zahlig wird Ihre Domain deaktiviert“), was ein typisches Merkmal von Phishing ist. Aufforderung zum Klick auf einen Link „Domain jetzt erneuere“ ist vermutlich ein Link, der zu einer gefälschten Seite führt, auf der Ihre Zahlungsdaten abgegriffen werden sollen. Fehlende persönliche Ansprache Es wird keine persönliche Anrede verwendet, obwohl Hostpoint als Domain-Provider die Kundendaten kennen sollte. Fehlende oder unvollständige rechtliche Hinweise Kein vollständiges Impressum, keine Kontaktdaten, keine echte Signatur.
Teil 1 der Perplexity-Analyse der Hostpoint-Mail (Mail mit Kopfzeilen: Von, An, Betreff)
Anzeichen GEGEN Phishing (für Seriosität) Nennung der echten Domain Ihre echte Domain wird korrekt genannt, was aber auch durch öffentlich zugängliche Whois-Daten möglich ist. Verweis auf Support-Team Die Mail erwähnt ein Support-Team, was aber leicht kopiert werden kann und kein Echtheitsbeweis ist. Fazit & Empfehlung Die Mail weist zahlreiche, sehr deutliche Anzeichen für Phishing auf. Sie sollten: Nicht auf Links klicken. Keine Zahlungsdaten eingeben. Die Mail als Spam markieren und löschen. Bei Unsicherheit direkt bei Hostpoint über die offizielle Website oder bekannte Kontaktdaten nachfragen. Tipp: Echte Hostpoint-Mails sind fehlerfrei, kommen von offiziellen Adressen und enthalten immer eine persönliche Anrede sowie korrekte rechtliche Hinweise. Merke: Bei Mails mit Fehlern, ungewöhnlichen Beträgen, Druck und verdächtigen Links immer misstrauisch sein – lieber einmal zu viel nachfragen als Opfer eines Betrugs werden!
Teil 2 der Analyse zur Hostpoint-Mail
Grosse Sprachmodelle können einige Merkmale von Phishing-Mails korrekt identifizieren. Her die Antworten von Perplexity.

Auch andere Sprachmodelle scheinen Phishing gut erkennen zu können; so fand mein erstes Experiment (mit einer angeblichen Geschäftsmail) unter ChatGPT statt.

Allerdings teile ich die Ansicht nicht überall:

  • Das angebliche Schweizerdeutsch wird als Ansammlung von Tippfehler bezeichnet.
  • Das Fehlen eines vollständigen Impressums ist in der Schweiz nicht unbedingt ein schlechtes Zeichen.
  • Das Fehlen von Kontaktdaten oder einer Signatur (also der «Text-Visitenkarte» am Ende der Mail) ist bei einer angeblich automatisierten Mail auch kein Anzeichen.
  • Ein erfundener Name kann zwar ein Anzeichen sein; der Name einer bekannten Person ist aber mindestens ein ebenso starkes Anzeichen für eine Betrugsmail.

Trotzdem kann ein Chatbot eine gute erste Einschätzung abgeben, insbesondere, wenn gerade kein vertrauenswürdiger Mitmensch vorhanden ist oder die Bösewichte auf Sextortion setzen, also der Drohung, explizite Bilder oder Videos des Angeschriebenen zu veröffentlichen.

Wie kann ich mich gegen Phishing schützen?

Vorbeugen

  • Nutzen Sie eindeutige Passwörter für jeden Dienst.
  • Ja, das bedeutet, einen Passwortmanager zu nutzen, ausser Sie sind ein Merkgenie.
  • Aktivieren Sie Zwei-Faktor-Authentifizierung («2FA»), am besten PassKeys, wenn dies von ihrem Provider und ihrem Gerät angeboten werden. (Da gibt es leider beiderseits noch Aufholbedarf; das dürfte sich aber hoffentlich im Laufe dieses Jahres noch bessern.)
  • Falls Ihre Applikation (z.B. Mailprogramm) kein 2FA unterstützt, vergeben Sie diesem Programm ein separates Passwort, unabhängig von ihrem Loginpasswort. Dies wird meist als «Anwendungspasswort» oder «Applikationspasswort» bezeichnet.

Schützen Sie als Erstes ihr Haupt-Mailkonto! Denn wenn ein Angreifer die Kontrolle über dieses übernommen hat, kann dieser auch viele Passwörter anderer Dienste zurücksetzen. Und damit noch mehr Kontrolle über Ihr Leben übernehmen.

Nach Erhalt einer Mail

  • Die obigen 9 Punkte überprüfen und im Zweifelsfall eine Person ins Vertrauen ziehen.
  • Vermeiden, auf Links in Mails zu klicken. Sondern wenn immer möglich über ein Lesezeichen im Browser zu ihren wichtigsten Diensten zugreifen.
  • Keine Passwörter auf «falsche Domains» eingeben. Viele Passwortmanager unterstützen Sie dabei, indem das Passwort nur auf der richtigen Domain automatisch eingesetzt werden kann.
  • Falls doch etwas schief gelaufen ist: Sofort das verratene Passwort ändern.

Vielen Dank, Sie haben gerade das Internet für sich und uns alle gerade ein bisschen sicherer gemacht!

Aktuell dürfte der Erhalt einer schweizerdeutschen angeblichen Geschäftsmail das beste Indiz für Spam sein. Das scheinen aber die ausländischen Scammer nicht zu wissen, die sich hinter angeblichen schweizerdeutschen Geschäftsmails verstecken. Auch wenn Sofortnachrichten (und Radio-/Fernsehbeiträge) oft auf Mundart versendet werden, hat sich dies noch kaum in der Geschäftskommunikation festgesetzt.
In diesem Fall ist es gut, wenn man Teil eines seltsamen, etwas isolierten Volks ist.

Collage verschiedener Loginmasken, auf die man via diese Phishingmail kam.
Hier einige Stichproben dessen, was die angebliche Phishing-Loginseite anzeigte. In diesem Fall wurden die Farben zufällig erzeugt und eine zufällige, generische Willkommensnachricht gezeigt. Übrigens funktionierten die «Login mit Google/Microsoft»-Knöpfe nicht. (Weil diese nicht so einfach gephisht werden können.)

Tipps für Mailversender

Angeregt durch eine Diskussion gestern hier noch ein paar Tipps, wie man als Firma seine versendeten echten Mail nicht wie Spam aussehen lässt. Sie orientieren sich grob am Gegenteil der Erkennungstipps oben; ich wurde aber gebeten, sie doch noch explizit aufzuschreiben.

  • Eigene, bekannte Domain: Verschicke die Mails von einer deiner eigenen, allgemein bekannten Domains. Die Beispiel AG sollte also von sowas wie buchhaltung@beispiel.ch oder news@newsletter.beispiel.ch verschicken.
  • Keine Überraschungen: Versuche die Überraschungsmomente zu vermeiden. Nicht plötzlich von neuen Adressen Mails verschicken; nicht plötzlich zu neuen Themen verschicken etc.
  • Änderungen ankündigen: Wenn die Änderung planbar ist, diese mehrfach(!) im Vorfeld über die bekannten Kanäle ankündigen. (Auch wenn du als Absenderin findest, dass deine Mail unbedingt lesenswert sei: Der Empfänger hat vielleicht gerade keine Zeit oder Lust oder teilt diese Meinung einfach überhaupt nicht.)
  • Klare Aussagen: Sei konkret in der Aussage, erwähne alle relevanten Details schon in der Mail.
  • Nur eigene Links: Sorge dafür, dass alle Links in der Mail ebenfalls auf deine Domain zeigen; am besten direkt, also https://blog.beispiel.ch/Beitrag99. Wenn es sein muss, dann auch auf sowas wie https://tracking.beispiel.ch/newsletter/Kunde1984/EindeutigeID12345678. (Ausnahme: Wenn das Ziel der Mail ist, beispielsweise eine Liste von Links auf relevante Online-Artikel von Dritten zu verschicken, dann macht das natürlich Sinn.)
  • Auch QR-Codes: Auch wenn du QR-Codes verschickst, sollten diese auf deine Domain oder eine Subdomain davon zeigen. (In den Mails solltest du QR-Codes eigentlich vermeiden. Mir ist nicht klar, was der Vorteil davon ist. QR-Codes werden aber als Trick genutzt, mit dem Betrüger ihre Links dem Spamfilter gegenüber verschleiern.)
  • Noch besser: Keine Links!
    • Regelmässiges: Wenn diese Mail Teil eines regelmässigen Prozesses ist (z.B. Ankündigung einer Krankenkassenabrechnung), vermeide die Links ganz. Der Empfänger weiss, wo die Dokumente abzuholen sind.
    • Notfallmässiges: Wenn du damit einen Notfall ankündigen willst (wie z.B. Information über einen Sicherheitsvorfall), dann schreibe das auf die Homepage. Und verweise einfach auf die Homepage. Dort willst du sowieso die Kundinnen abholen, die sich informieren wollen, weil sie z.B. festgestellt haben, dass dein Dienst nicht mehr funktioniert.
  • Bilder: Bilder, insbesondere solche, die vorwiegend aus Text bestehen, werden von einigen Spamfiltern als Versuch identifiziert, den Spamfilter zu umgehen. Sie erschweren auch die Lesbarkeit für Blinde und Sehbehinderte, die auf einen Screenreader oder eine Braille-Zeile angewiesen sind.
  • Attachments: Auch Attachments – insbesondere verschlüsselte – werden von einigen Spamfiltern (und Empfänger:innen) als mögliches Transportvehikel für bösartige Software (Malware) angesehen. Ungewöhnliche oder verschlüsselte Attachmentformate sollten vermieden werden. (Auf der anderen Seite ist es für viele Empfängerinnen praktisch, die gesamte Information bereits in der Mail zu haben. Insbesondere, wenn die Mail offline gelesen wird oder sie archiviert werden soll.)

Aktuelles zu IT-Sicherheit

Marcel Waldvogel

,
, ,

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Folge mir im Fediverse

Dossiers

Cloud+Sicherheit

Dossier Cloud, Sicherheit und Privatsphäre

Blockchain

Dossier Blockchain mit Kryptowährungen, Smart Contracts, NFTs

KI

Dossier Künstliche Intelligenz, Maschinelles Lernen, ChatGPT und Grafik-KI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..

Webapps