Woran erkennt man SPAM-/Phishing-Mails?

Gewusst wie!
Antworten
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Definitionen
SPAM = Lästige Werbemails
Phishing = Versuch an persönliche Daten (Adresse, Telefonnummer, Bankdaten inkl. PIN/TAN etc.) zu kommen

Allgemeines
SPAM-Mails haben nur einen einzigen Zweck: Die Empfänger mit Werbung zuzuschütten. Entweder wird ein einzelnes Produkt, eine Dienstleistung oder eine Webseite beworben.
Phishing-Mails versuchen an geheime Daten zu kommen, indem sie sich als ganz offizielle Mails von namhaften Unternehmen ausgeben.

Seid bei Mails von Banken skeptisch. Sollte euer Konto gesperrt worden sein, bekommt ihr darüber einen Brief von der Post und keine E-Mail. Das gleiche gilt für Mails, die angeblich vom BKA/der Polizei stammen. Wichtige Mitteilungen werden nach wie vor als Einschreiben verschickt, um sicher zu gehen, dass die betroffene Person die Nachricht erhält.

Wie erkennt man, ob eine Mail nun seriös ist oder nicht?

Absender
Achtet unbedingt auf den Absender der Mail. In vielen E-Mail-Programmen oder Webmail-Diensten kann man sich genauere Infos zum Absender ansehen, falls standardmäßig nur der Name, nicht aber die Adresse angezeigt wird. Seriöse Mails haben hinter dem @ die Internetadresse (Domain) des Unternehmens, von dem die Nachricht (angeblich) stammt. Einige Unternehmen haben für ihre E-Mails allerdings die Mailserver unter einer anderen Domain laufen. In dem Fall kommt es auf die einzelne Mail an.
SPAM-Mails haben oftmals Adresse mit ganz kuriosen Domains. Viele enden auf .ru (Russland). Meist ergeben die Domains keine lesbaren Wörter, zumindest nicht für deutsch- oder englischsprachige Leute.
Bei einigen SPAM- oder Phishing-Mails kommt es vor, dass die Absenderadresse von einem Freemail-Dienstleister wie web.de, yahoo, gmx oder dergleichen stammt. Seriöse Unternehmen mit eigenem Internetauftritt benutzen solche Dienste nicht.
Manchmal wird auch eine Antwortadresse mit angegeben (im Kopf der Mail, nicht im Text). Diese wird benutzt, wenn man auf den "Antworten"-Button klickt. So kann es sein, dass man eine Mail von petra.mustermann@example.com erhalten hat, beim Antworten die Mail aber an abteilungxy@example.com geschickt wird. Bei seriösen Mails ist das vollkommen okay. Die Domain sollte dabei stets dieselbe bleiben.
Automatisch generierte Mails kommen seltenst von realen Personen, die haben dann Adressen wie buchhaltung@example.com oder no-replay@example.com (Adresse, auf die nicht geantwortet werden kann). Steht im Mailtext also unten kein "Mit freundlichen Grüßen, Petra Mustermann, Buchhaltung Beispiel GmbH" oder dergleichen, kommt die Mail sehr wahrscheinlich nicht von einer echten Person und sollte deshalb auch keine Absenderadresse haben, die auf eine Person hinweist.

Empfänger
Ist eure E-Mail-Adresse richtig? Habt ihr diese Adresse bei dem absendenden Unternehmen hinterlegt?
Wenn im Feld "An:" etwas wie "undisclosed recipients" steht, ging die Mail an sehr viele Empfänger und ist ziemlich eindeutig SPAM.

Betreff
Die Betreffzeile kann auch schon Hinweise auf die Seriosität einer Mail liefern. "Gewinnspiel", "P**is enlargment", "V**gra", "Meds", "X**ax", "C**lis", "Singles aus deiner Umgebung" und dergleichen sind sehr eindeutige Hinweise auf SPAM.

Text
Enthält der Text der Mail mehr Bilder als Text, handelt es sich vermutlich um SPAM. Nicht jeder erlaubt seinem Mailprogramm HTML-Mails darzustellen. Darum sollten die wichtigen Infos, die sich auf den Bildern befinden, auch im Text wiederfinden lassen. Wird eine Mail nun aber nicht im HTML-Format, sondern als Nut-Text dargestellt, sieht der Empfänger die Infos von den Bildern nicht. Bei seriösen Mails wird auf so etwas geachtet.
Enthält der Text viele Rechtschreib- und Grammatikfehler und sieht aus, als wär er von einem Übersetzungsprogramm erstellt worden, könnt ihr die Mail getrost in den Papierkorb verschieben.
Unternehmen, bei denen ihr ein Benutzerkonto habt, kennen euren Namen. Werdet ihr in der Mail als Kunde/Kundin, oder gar mit einer Kundennummer angesprochen - also nicht beim Namen genannt - kann es sich um eine Phishing-Mail handeln.
Sollte der Text nicht in eurer Muttersprache verfasst sein und angeblich von einem Unternehmen aus eurem Land stammen, handelt es sich ebenfalls um SPAM/Phishing.
Viele Links in einer Mail sind ein weiteres Indiz für unseriöse Mails. Habt ihr eine solche Mail erhalten, fahrt mit der Maus über einen Link und guckt unten in eurem Browser wohin der Link zeigt. Oft hat das Ziel des Links nicht im Entferntesten mit der Domain des Unternehmens zu tun.

Dateianhänge
Ist an die Mail eine Datei angehängt? Wenn ja, wurde der Anhang im Text erwähnt? Dateien, die auf .exe, .zip oder .bat enden sollten nur geöffnet werden, wenn ihr den Absender wirklich kennt! .pdf ist meistens in Ordnung. .doc betrachte ich pers. eher kritisch, da nicht jeder Microsoft Office hat (auch wenn alternative Büroprogramme wie OpenOffice.org, LibreOffice oder StarOffice diese Dateien auch öffnen können); ähnliches gilt für .xls, .odt und andere Office-Dateien, öffnet diese nur, wenn ihr den Absender kennt! .vcf sind sog. vCards, also elektronische Visitenkarten und enthalten Kontaktdaten; sie können in Adressbücher importiert werden und sind nicht schädlich.

Beispiele
Banken
Werdet ihr von einer Bank angeschrieben, bei der ihr gar nicht Kunde seid, handelt es sich um einen Phishing-Versuch.
In solchen Mails wird erstmal Panik gemacht, weil angeblich euer Konto gesperrt wurde und/oder ihr noch einen bestimmten Betrag bezahlen müsst. Um dem entgegen zu wirken, sollt ihr euch auf einer bestimmten Seite mit euren Bankdaten und der dazugehörigen PIN anmelden.
Banken fragen niemals nach so persönlichen Daten. Wie oben schon erwähnt, würden die euch einen Brief schicken, oder versuchen euch telefonisch zu erreichen.

Bankangestellte, die sich um die Hinterlassenschaft von verstorbenen Millionären/Milliardären kümmern
Solche Mails sind sehr beliebt: Da ist ein Bankangestellter, der einen seiner Kunden verloren hat, weil dieser gestorben ist. Es gibt keine Erben und kein Testament, also bleibt das Geld bei der Bank. Der Angestellte, der übrigens entweder aus Afrika, China, Russland oder Japan kommt, hat aber glücklicherweise Zugang zum Konto des Verstorbenen. Und weil er so ein netter Mensch ist, möchte er das Vermögen mit euch teilen. Das ist besser als Lottospielen und klingt verführerisch. Die Sache hat nur einen Haken: Für die Transaktion braucht er natürlich eure Adresse mit allem PiPaPo und etwas Geld (meist um die 1000$) als eine Art Versicherung oder Bearbeitungsgebühr.
Ja ne, ist klar...

Festsitzender Fremder/Bekannter
Sehr fiese Falle! Ein Bekannter (manchmal auch ein Fremder) von euch war/ist im Urlaub und wurde dort bestohlen. Papiere weg, Geld weg, Rückflugtickets weg. Jetzt steht er da und kommt nicht mehr nach Hause. Glücklicherweise gibt's an seinem Aufenthaltsort aber ein Internetcafé, in dem er - weil der Besitzer so unglaublich freundlich und von der Geschichte so gerührt ist - ein paar Mails schreiben kann. Er bittet euch darum einen Check zu schicken, damit er sich neue Rückflugtickets kaufen kann. Die sind aber nicht billig.
Warum ausgerechnet ihr? Hat dieser Mensch keine Familie/Freunde, die er/sie um Hilfe bitten kann? Gibt's keine Botschaft in dem Land? Oder Behörden?

PayPal, Amazon, eBay und co.
Diese Mails finde ich immer wieder spannend. Die sind recht leicht als Phishing-Mails zu erkennen, da sie meistens nicht im Ansatz aussehen wie die offiziellen Mails des jeweiligen Unternehmens. Dann werden oft sehr ominöse Gründe angegeben, warum das Benutzerkonto gesperrt wurde. Das Dumme ist nur, dass man so herrlich leicht prüfen kann, ob es stimmt, was in der Mail steht. Man geht einfach wie gewohnt auf die entsprechende Seite und loggt sich ein. Klappt das? Gut. Bei einigen Unternehmen gibt's im Benutzerprofil auch ein eigenes Postfach für interne Mails. Wenn dort kein Hinweis auf eine Kontoschließung zu finden ist, kann man die Mail ignorieren. Sollten in der Mail Bestellnummern o.ä. angegeben sein, kann man die ebenfalls überprüfen.
Auch diese Unternehmen kennen eure Namen und würden euch damit ansprechen. Ist auch nur selten der Fall, dass das bei Phishing-Mails dieser Art passiert.

Ihr habt illegale Software/Musik/Filme/Bilder heruntergeladen
Tz tz tz... ihr bösen! Solche Mails kommen angeblich vom Bundeskriminalamt, der Polizei oder irgendeinem Anwalt. Meist in Kombination mit einer Abmahnung i.H.v. viel zu viel Geld. Im Text heißt es, dass eure IP-Adresse ermittelt wurde (da ranzukommen ist keine Kunst) und mit dieser wurdet ihr gefunden. Jaaa... Man kann über die IP-Adresse Personen ausfindig machen. ABER: Man findet damit zunächst einmal nur den ISP (Internet Service Provider, also das Unternehmen, dem ihr Geld gebt, um euren Internetanschluss nutzen zu können) und von diesem den in eurer Nähe nächstgelegenen größeren Knotenpunkt. Eure Adresse aber nicht. Die hat euer ISP in Zusammenhang mit eurer IP (Stichwort Vorratsdatenspeicherung). Euer ISP gibt diese Daten aber nicht einfach so heraus. Da müssen schon sehr wichtige Gründe vorliegen.
Habt ihr gemerkt? Ich habe nirgendwo geschrieben, dass euer ISP eure E-Mail-Adresse rausgibt. Die hat er unter Umständen auch gar nicht. Wie konnte also die Mail zu euch kommen? Eigentlich hättet ihr einen Brief erhalten müssen. Ist die IP-Adresse in der Mail angegeben, könnt ihr euch ja mal den Spaß erlauben und diese recherchieren. Oft passt die nicht einmal im Ansatz zu euren ISP, wenn sie überhaupt aus eurem Land stammt.

Lange verschollene/vergessene Freunde/Mitschüler/Kollegen, oder Singles, die euch kennen lernen wollen
"Petra Mustermann möchte dich gerne kennen lernen" oder "Kennst du noch Petra Mustermann?" Mit solchen Betreffs wird man erstmal hellhörig. Kommt mir der Name nicht bekannt vor? Solche Mails versuchen euch dazu zu bringen, die Mail zu beantworten, oder euch auf irgendeiner Kontaktseite zu registrieren. Sinn und Zweck solcher Mails ist die Bestätigung, dass die Adresse noch aktuell ist und Mails, die dort ankommen, auch gelesen werden. Eine einfache Vorbereitung, um noch mehr SPAM zu schicken.

Das schnelle Geld machen mit wenig Arbeit
Kaum einen Finger krumm machen und in einer Woche mehrere tausend Euronen verdienen? Das soll möglich sein. Und sogar ganz einfach. Eine kleine Webseite oder ein Video soll das genau erklären.
In der Mail wird von jemandem berichtet, der eigentlich nix auf dem Kasten hat, aber binnen einer Woche so viel Geld verdient hat wie sonst kaum einer im Monat. Klingt verlockend, ist aber mit einem sog. Schneeballsystem (Kunden werben Kunden, die weitere Kunden werben) und/oder vorherigen Investitionen verbunden. Links in solchen Mails sollte man unter keinen Umständen anklicken! Das ist reine Abzocke.

Wie kann man sich schützen?
Schwierig. Einen 100%igen Schutz vor SPAM und Phishing gibt es nicht. Es werden zwar ständig neue Methoden entwickelt, um solche Mails im Voraus zu erkennen, so dass ihr die gar nicht erst in eurem Postfach findet, aber ebenso schnell werden neue Methoden für SPAM und Phishing entwickelt. Das ist wie mit Viren, Würmern und Trojanern.
Wenn man eine Mail erhält, die eindeutig SPAM oder Phishing ist, kann man sich einen Filter anlegen (das ist je nach Mail-Programm oder Webmail-Seite unterschiedlich, aber in der jeweiligen Hilfe/Dokumentation beschrieben, zur Not danach googlen) und dort als Suchkriterien entweder eindeutige Wörter, die nicht in seriösen Mails vorkommen, oder die Absenderadresse eintragen. Viele Programme und Seiten bieten die Möglichkeit, Mails als Junk zu kennzeichnen. Markiert einfach die Mail im Postfach und klickt den entsprechenden Button an, um die Mail als Junk zu kennzeichnen. Dadurch lernt euer Programm dazu und markiert zukünftige Mails automatisch.
Virenscanner bringen mittlerweile kleine Zusatzprogramme mit, die auch eure Mails prüfen, die ihr mit Outlook, Thunderbird o.ä. abruft. Die kann man zusätzlich einsetzen, da sie insbesondere die Dateianhänge in Mails prüfen.
Legt euch am besten mehrere E-Mail-Adressen zu. Eine mit eurem richtigen Namen für offizielle Angelegenheiten, Freunde und Familie etc. und eine mit einem Spitznamen für Foren, Chats, Onlineshops etc.. Evtl. noch eine weitere für Seiten, denen ihr nicht vertraut.
Wenn ihr Mails von Unternehmen, die ihr kennt, erhalten habt, es sich dabei aber um SPAM oder Phishing handelt, kontaktiert das jeweilige Unternehmen (bei Abmahnungen von Anwälten die Kanzlei), ob sie eine Kopie der Mail haben wollen, da sie mehr Möglichkeiten haben, etwas gegen zukünftigen SPAM zu unternehmen. Amazon hat für solche Fälle einen eigenen Beitrag in der Hilfe und eine E-Mail-Adresse, an die die Mails weitergeleitet werden sollen.

Nützliche Links
http://www.vz-nrw.de/yabb?catselect=phishing -- Forum der Verbraucherzentrale NRW mit Meldungen von Phishing-Mails
http://hoax-info.tubit.tu-berlin.de/hoax/ -- Hoax-Info Service der TU Berlin
http://www.betrugsemail.de/ -- Hier kann man nach Absender-Adressen suchen, um zu sehen, ob damit Betrugs-Mails verschickt werden

//edit (17.02.2013):
Abschnitt "Das schnelle Geld machen..." hinzugefügt --> Scammer
Zuletzt geändert von Madman-Maniac am So 17. Feb 2013, 20:59, insgesamt 1-mal geändert.
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Tinie Lloyd
Pandabär
Pandabär
Beiträge: 2453
Registriert: Do 15. Sep 2011, 14:39
Wohnort: bei Freiburg

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Tinie Lloyd »

Lieber Madman, vielen Dank für diese tolle Beschreibung! Ich hab sie mir gerade komplett durchgelesen und bin auf einige Sachen gestoßen die ich, als "digital native", wie man so schön sagt, noch nicht wusste :jap: Sehr lehrreich!
Ever tried, ever failed.
No matter.
Try again.
Fail again.
Fail better.
Tumana

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Tumana »

:jap: Super beschrieben.
Scammer gibt's auch noch :D:
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Danke für's Lob :)

Scammer habe ich ja quasi auch beschrieben, nur nicht explizit erwähnt. Ich denke, die Kategorisierung spielt keine große Rolle. Im Allgemeinen spricht man sowieso nur von SPAM. Es gibt sicherlich noch weitere Unterarten, aber wenn man einmal das Grundprinzip (vertraue keiner Mail, deren Absender du nicht eindeutig kennst und selbst dann sollte man einen gewissen Zweifel bewahren) verstanden hat, erkennt man auch diese Mails ;)
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Tumana

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Tumana »

Ich find's super wie Du das beschrieben hast :jap:
MataHari
Himmelbär
Himmelbär
Beiträge: 7104
Registriert: Do 23. Jul 2009, 11:30
Wohnort: Hamburg
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von MataHari »

Sehr tolle Beschreibung!  :smile:

Mich wollen gerade ganz viele Frauen kennenlernen.  :kopfkratz:
Fairy tales are more than true; not because they tell us dragons exist, but because they tell us dragons can be beaten.
Ich habe auch Gummipunkte, juhu!
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Als ich noch in meiner alten Wohnung gewohnt habe, wollten mich angeblich meine Nachbarinnen kennen lernen. Also intim. Dummerweise gab's da in der Gegend fast nur Rentnerinnen bzw. Mütter von Kleinkindern. Mal ganz davon abgesehen, dass ich an Nachbarinnen generell nicht interessiert bin. :gg:
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Da ich gerade eine Scammer-Mail bekommen habe, habe ich bei den Beispielen einen Absatz ergänzt. Ich möchte euch die Mail nicht vorenthalten :gg:
Auf meinem Mailserver läuft zur Früherkennung von SPAM das Programm SpamAssassin. Solche Programme arbeiten mit einem Punktesystem: Bestimmte Merkmale einer Mail erhöhen den Punktestand. Ist der Absender bereits als Spammer bekannt und gelistet, gibt's Punkte. Handelt es sich um eine reine HTML-Mail, gibt's Punkte. Wurde die Mail über Umwege verschickt, gibt's Punkte..... und so weiter und so fort. Standardmäßig reichen 5,0 Punkte aus, um eine Mail als SPAM einzustufen. Wer noch vorsichtiger sein will, setzt diesen Wert herab.
Hier nun die Mail wie sie bei mir ankommt, wenn sie als SPAM erkannt wurde (ganz zu Anfang stehen die Infos, die SpamAssassin hinzugefügt hat, inkl. der vergebenen Punkte):

Code: Alles auswählen

Software zur Erkennung von "Spam" auf dem Rechner

    XXXXXXXXXXXXXXX

hat die eingegangene E-mail als mögliche "Spam"-Nachricht identifiziert.
Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass
Sie sie anschauen können (falls es doch eine legitime E-Mail ist) oder
ähnliche unerwünschte Nachrichten in Zukunft markieren können.
Bei Fragen zu diesem Vorgang wenden Sie sich bitte an

    the administrator of that system

Vorschau: Hi, Wär ich ein Banker, ich würde mir ein Loch buddeln
   und mich darin verstecken. Ein Muttersöhnchen, der von Harz IV lebt,
   38 Jahre alt ist und immer noch zu Hause wohnt, hat innerhalb von 39 Minuten
   ein System erlernt, mit dem er in nur einer Woche 4575€ Gewinn kassiert
   hat. [...]
   

Inhaltsanalyse im Detail:   (9.8 Punkte, 5.0 benötigt)

Pkte Regelname              Beschreibung
---- ---------------------- --------------------------------------------------
 1.0 MSGID_MULTIPLE_AT      Message-ID contains multiple '@' characters
-0.0 SPF_HELO_PASS          SPF: HELO-Name entspricht dem SPF-Datensatz
 0.5 DATE_IN_PAST_24_48     Absendezeit 24 bis 48 Stunden vor Datum in
                            "Received"-Kopfzeilen
 1.6 RCVD_IN_BRBL_LASTEXT   RBL: RCVD_IN_BRBL_LASTEXT
                            [37.59.206.105 listed in bb.barracudacentral.org]
 1.7 URIBL_DBL_SPAM         Contains an URL listed in the DBL blocklist
                            [URIs: borse-fur-dummies.net]
 1.3 HTML_IMAGE_ONLY_24     BODY: Außer Bildern nur 2000-2400 Zeichen Text
 0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
 1.7 RAZOR2_CHECK           Gelistet im "Razor2"-System (http://razor.sf.net/)
 2.0 PYZOR_CHECK            Gelistet im Pyzor-System (http://pyzor.sf.net/)
 0.0 DIGEST_MULTIPLE        Mehrere Internettests (Razor, DCC, Pyzor, etc.)
                            treffen zu
 0.0 T_DKIM_INVALID         DKIM-Signature header exists but is not valid

Die ursprüngliche Nachricht enthielt nicht ausschließlich Klartext
(plain text) und kann eventuell eine Gefahr für einige E-Mail-Programme
darstellen (falls sie z.B. einen Computervirus enthält).
Möchten Sie die Nachricht dennoch ansehen, ist es wahrscheinlich
sicherer, sie zuerst in einer Datei zu speichern und diese Datei danach
mit einem Texteditor zu öffnen.
Hi,


Wär ich ein Banker, ich würde mir ein Loch buddeln und mich darin verstecken.

Ein Muttersöhnchen, der von Harz IV lebt, 38 Jahre alt ist und immer noch zu Hause
wohnt, hat innerhalb von 39 Minuten ein System erlernt, mit dem er in nur einer Woche
4575€ Gewinn kassiert hat.

Klingt ganz nett, aber das kann ja jeder sagen?

In dem folgenden Video finden Sie den Beweis; er hat seine Schritte haarklein
aufgelistet! Innerhalb der 7 Tage hat er alle Schritte per Video aufgenommen und zeigt
Ihnen jetzt genau, wie auch Sie das machen können. Echt der Wahnsinn!

Das Video: Link


Alter Falter... So was ist kaum zu glauben!

Ignorieren ist natürlich möglich - Aber Sie sollten sich das gut überlegen: Das Video
wird sicher nicht lange online sein... Und Sie können sicher gehen, dass wenn Sie sich
jetzt das Video nicht ansehen, dass Sie es später bereuen werden!

Das Video ist weniger als 20 Minuten lang. 20 Minuten später kann jeder, der mehr
Intelligenz als ein Stück Toast besitzt, genau das nachmachen, was das
Muttersöhnchen auch geschafft hat - So einfach ist das!



Ihr Norbert
Die Links wurden glücklicherweise nicht mit kopiert :) Die Adressen, die noch drinstehen, gehören den Seiten, die SPAM-Mails sammeln und identifizieren. SpamAssassin guckt dort autom. nach, ob die empfangene Mail gelistet ist.
Wegen der Formatierung musste ich die Zusatzinfos als Code verpacken, da sonst die Leerzeichen verrutscht wären. Das wäre nicht mehr gut lesbar gewesen.
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Eine hab ich noch, die ich vor ein paar Tagen bekommen habe. Mein SpamAssassin filtert wie o.a. Mails bereits ab 5,0 Punkten raus. Hier ist eine Mail mit unglaublichen 41,8 Punkten :gg: Bisher absoluter Rekord.

Code: Alles auswählen

Software zur Erkennung von "Spam" auf dem Rechner

    XXXXXXXXXXXXX

hat die eingegangene E-mail als mögliche "Spam"-Nachricht identifiziert.
Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass
Sie sie anschauen können (falls es doch eine legitime E-Mail ist) oder
ähnliche unerwünschte Nachrichten in Zukunft markieren können.
Bei Fragen zu diesem Vorgang wenden Sie sich bitte an

    the administrator of that system

Vorschau: Guten Tag, Ich glaube, Sie sind eine hoch angesehene Persönlichkeit,
   ist dies das dritte Mal, dass ich Ich schreibe Ihnen eine E-Mail, Mein Name
   Zuliu Hu ist, arbeite ich mit Hang Seng Bank hier [...] 

Inhaltsanalyse im Detail:   (41.8 Punkte, 5.0 benötigt)

Pkte Regelname              Beschreibung
---- ---------------------- --------------------------------------------------
 1.3 NSL_RCVD_FROM_USER     Received from User
 0.0 FREEMAIL_FROM          Sender email is commonly abused enduser mail provider
                            (infkl[at]yahoo.de)
 1.6 RCVD_IN_BRBL_LASTEXT   RBL: RCVD_IN_BRBL_LASTEXT
                            [70.88.218.33 listed in bb.barracudacentral.org]
 2.7 RCVD_IN_PSBL           RBL: Received via a relay in PSBL
                            [70.88.218.33 listed in psbl.surriel.com]
 0.9 SPF_HELO_SOFTFAIL      HELO-Name entspricht nicht SPF-Datensatz (softfail)
 1.2 MISSING_HEADERS        Empfängeradresse ("To") fehlt
 0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
 1.1 MIME_HTML_ONLY         BODY: MIME-Nachricht besteht nur aus HTML
 2.0 PYZOR_CHECK            Gelistet im Pyzor-System (http://pyzor.sf.net/)
 0.6 FORGED_OUTLOOK_TAGS    Outlook verwendet diese HTML-Markierung nicht
 0.4 RDNS_DYNAMIC           Delivered to internal network by host with
                            dynamic-looking rDNS
 0.0 T_HK_NAME_FM_DR        T_HK_NAME_FM_DR
 1.9 REPLYTO_WITHOUT_TO_CC  REPLYTO_WITHOUT_TO_CC
 2.0 FROM_MISSP_MSFT        From misspaced + supposed Microsoft tool
 2.0 FSL_NEW_HELO_USER      FSL_NEW_HELO_USER
 0.0 FORGED_OUTLOOK_HTML    Outlook verschickt keine reinen HTML-Nachrichten
 2.0 FSL_MISSP_REPLYTO      Mis-spaced from and Reply-to
 3.2 FROM_MISSP_USER        From misspaced, from "User"
 3.6 AXB_XMAILER_MIMEOLE_OL_1ECD5 AXB_XMAILER_MIMEOLE_OL_1ECD5
 1.0 FREEMAIL_REPLYTO       Reply-To/From or Reply-To/body contain different
                            freemails
 3.7 FROM_MISSP_REPLYTO     From misspaced, has Reply-To
 1.9 TO_NO_BRKTS_FROM_MSSP  Multiple formatting errors
 0.7 FROM_MISSPACED         From: missing whitespace
 2.8 FORGED_MUA_OUTLOOK     E-Mail täuscht E-Mail-Software Outlook vor
 3.5 TO_NO_BRKTS_MSFT       To: misformatted and supposed Microsoft tool
 1.7 FROM_MISSP_FREEMAIL    From misspaced + freemail provider
 0.0 T_FILL_THIS_FORM_SHORT Fill in a short form with personal information

Die ursprüngliche Nachricht enthielt nicht ausschließlich Klartext
(plain text) und kann eventuell eine Gefahr für einige E-Mail-Programme
darstellen (falls sie z.B. einen Computervirus enthält).
Möchten Sie die Nachricht dennoch ansehen, ist es wahrscheinlich
sicherer, sie zuerst in einer Datei zu speichern und diese Datei danach
mit einem Texteditor zu öffnen.
Guten Tag,
Ich glaube, Sie sind eine hoch angesehene Persnlichkeit, ist dies das dritte Mal, dass ich
Ich schreibe Ihnen eine E-Mail, Mein Name Zuliu Hu ist, arbeite ich mit Hang Seng Bank hier
in Hong Kong.I brauchen Ihre Hilfe bei der Durchfhrung einer Transaktion im Wert von 15,5 Mio.
USD Ich beabsichtige, 30% der gesamten Mittel als Ausgleich fr Ihre Give
Hilfe. Ich werde Sie ber die vollstndige Transaktion benachrichtigt nach Eingang Ihrer
Antwort, und ich werde Ihnen die Details. Sollten Sie Interesse haben?
Bitte senden Sie mir:

1.Full Namen
2.Private Telefonnummer
3.Current Wohnadresse

Bemhen, mich unter (XXXXXXXXX@XXXXXXX.com.hk)

Mit freundlichen Gren,
Zuliu Hu
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Kyu
Himmelbär
Himmelbär
Beiträge: 7069
Registriert: Di 7. Aug 2012, 19:26
Interessen: Ist ein Herr Bär ;)

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Kyu »

Vielen Dank für die Arbeit, die du dir gemacht hast! Ich fand deine Beschreibung sehr informativ und hilfreich. :jap:

Manchmal ist der Quatsch so gut gemacht, dass ich echt zwei-, dreimal draufgucken muss. Aber ich bin eh übervorsichtig und lösch lieber mal ne Mail zuviel, als dass ich mir da was einfange :gg: So erwischt es schon mal normale Mails. Nu ja, wenn es wichtig war, würde der Absender sich ja nochmal melden.

Auf der Arbeit kriegen wir regelmäßig Spam mit .zip und .exe Dateien im Anhang. Angeblich von Kurierdiensten wie TNT oder UPS, die darauf hinweisen, dass es Probleme mit einer Paketsendung gibt. Und neuerdings auch von unseriösen Reiseveranstaltern, die einem Bestätigungen für Buchungen schicken, die man nie getätigt hat. Alles totaler Schrott mit virenverseuchten Dateianhängen. 
Wir machen hier keine Fehler, uns passieren glückliche, kleine Missgeschicke. - Bob Ross
Gummipunkte? Gummipunkte!
Madman-Maniac
Gelbär
Gelbär
Beiträge: 1026
Registriert: Mi 19. Mai 2010, 18:57
Wohnort: Steinhagen
Kontaktdaten:

Re: Woran erkennt man SPAM-/Phishing-Mails?

Beitrag von Madman-Maniac »

Dann sollten eure ITler mal für ein bisschen Ordnung sorgen ;)

Wenn man sich die Absenderadressen und die Ziele der Links genau ansieht, kann man eigentlich hervorragend die Spreu vom Weizen trennen. Aber wie du schon sagst: Lieber eine Mail zu viel löschen und ggf. auf weitere Nachfrage warten.
Keine generierten Signaturen bitte. Das klappt nicht. Danke.
Antworten

Zurück zu „How-to“