So werden Kreditkartendaten gestohlen - Vorsicht ist angeraten

Der Artikel zeigt anhand eines Beispiels, woran Sie Betrugsversuche im Internet erkennen können.

Phishing ist eine beliebte Technik, um z.B. mit Hilfe von gefälschten Emails und Internetseiten am Informationen wie Konto- oder Kreditkartendaten zu gelangen. Man kann sich vor Phishing schützen, wenn man sich der Gefahren bewusst ist und weiß, wie die Betrüger vorgehen. In einem vorherigen Artikel habe ich bereits ein wenig über Phishing geschrieben. Erfahren Sie nun anhand eines Beispiels, wie Betrüger dabei vorgehen und woran Sie einen Betrugsversuch erkennen können.

Die Email

Am 21.02.2012 fand ich in meinem Postfach eine Email von dem Absender mastercard-service und dem Betreff "[Info] Wichtige Mitteilung zu Ihrem Karten-Konto 21.02.2012". Diese Email und die Internetseite, auf die sie verweist, soll als Beispiel eines Betrugsversuchs im Internet dienen. Im Folgenden möchte ich den Text aus dieser Email zitieren:

Sehr geehrter Karteninhaber, sehr geehrte Karteninhaberin,

mit Bedauern müssen wir Ihnen die temporäre Aussetzung Ihrer Mastercard mitteilen.
Der Grund hierfür sind die neuen Sicherheitsrichtlinien, welche für jeden unserer Kunden geltend sind und bestätigt werden müssen.

Unsere Mitarbeiter aus dem Bereich der Kundenbetreuung und Sicherheit haben festgestellt, dass Sie noch keine Verifizierung Ihrer Mastercard durchgeführt haben.

Solange Sie die Verifizierung nicht durchgeführt haben, wird es uns nicht möglich sein Ihre Mastercard freizuschalten.
Wenn Sie jedoch nicht auf den Service von Mastercard verzichten möchten und Ihre Mastercard weiterhin reibungslos und sicher nutzen wollen, haben Sie die Möglichkeit eine Verifizierung durchzuführen.
Mit diesem Verfahren schalten Sie Ihre Mastercard unverzüglich wieder vollständig frei.

Hierzu besuchen Sie die unten aufgeführte Seite, auf welcher Sie ein Formular vorfinden.
Tragen Sie dort Ihre Daten ein und vergewissern Sie sich nochmals, dass diese korrekt eingetragen wurden.
Weitere Informationen zu Ihrer Sicherheit und zur Verifizierung finden Sie selbstverständlich auf der folgenden Seite:

Kartenschutz und Sicherheit

Viel Vergnügen mit Ihrer Mastercard und einen schönen Tag wünscht Ihnen Dieter Hammle.

Master Card Europe SPR.L.
Representative Office Germany
Unterschwerinstiege 5b
60537 Frankfurt am Main
Deutschland
Telefon: +49 [0] 63 93 13 13 0
Telefax: +49 [0] 63 93 13 13 10

Sie sehen, dass der Text der Email auf den ersten Blick sehr seriös wirkt. Aber schauen wir sie uns einmal etwas genauer an. Die Email behauptet, dass meine MasterCard freigeschaltet werden müsste. Darüber werde ich also per Email informiert und die Freischaltung erfolgt über das Internet. Vor allem der erste Punkt, dass ich über so etwas wichtiges per Email informiert werde, sollte schon stutzig machen.

Werfen wir einmal einen Blick auf den Link. Das Folgende können Sie an jedem beliebigen Link im Internet ausprobieren. Wenn Sie den Mauszeiger über den Link bewegen ohne eine Taste zu drücken, erscheint in der Statusleiste des Browsers die Zieladresse des Links.

Das Ziel des Links in der MasterCard-Email (Bild: Selbst erstellt)

Ein Link kann schon viel verraten

Im Bild habe ich den relevanten Teil rot markiert. Der Anfang ist nur die Weiterleitungsadresse von GMX. Wir sehen also, dass der Link auf die folgende Adresse verweist: http://euro-master-service.com. Das klingt auf den ersten Blick nicht so wahnsinnig gefährlich. Aber bei schlechten Phishing-Seiten kann bereits diese Zieladresse ein erster Hinweis auf einen Betrug sein, weil die Adresse sehr unrealistisch klingt.

Die Domainendung könnte ein solcher Hinweis sein. Hier endet die Adresse mit .com. Das ist für MasterCard durchaus realistisch. .de wäre auch noch in Ordnung. Aber wenn die Adresse lauten würde: http://euro-master-service.to (Tonga, ein kleines Königreich im Pazifik, auf dessen Server viele illegale Seiten liegen), müsste man stutzig werden.

Dennoch klingt die Adresse nicht 100%ig realistisch. Aus Anschauungsgründen habe ich trotzdem darauf geklickt.

Die Phishing-Seite

Ich wurde durch den Link auf eine äußerst gut gemachte und sehr realistische Internetseite umgeleitet.

Die gefälschte MasterCard-Seite (Bild: Selbst erstellt)

Das Erste, was ich sehe, ist ein Hinweis, dass meine Karte verifiziert werden muss, sonst wird sie gesperrt. Netterweisewird mir direkt ein Link zur Kartenverifizierung angezeigt. Bevor ich darauf klicke, bewege ich den Mauszeiger noch einmal auf den Link und schaue mir an, was die Statusleiste anzeigt. Das Ergebnis ist interessant.

Der Link zu einer sehr merkwürdigen Adresse (Bild: Selbst erstellt)

Die Zieladresse lautet: http://www.papierdozdjec.pl/slide/show/verification.php. Also ein PHP-Programm auf irgendeinem Server mit einem sehr seltsamen Namen. Kann sich irgendjemand vorstellen, dass MasterCard einen solchen Server verwendet?

Ab diesem Zeitpunkt sollten Sie nicht mehr weitermachen. Klicken Sie niemals auf einen solchen Link! Im schlimmsten Fall fangen Sie sich einen Trojaner ein. Ich habe geklickt, da ich solche Experimente auf einem System durchführe, auf dem ein Virus keinen großen Schaden anrichten kann.

Das Ergebnis war ein wunderschönes Eingabeformular.

Die vermeintliche Verifikation

Es ist hochinteressant, was "MasterCard" alles wissen möchte. Ich muss wirklich alles eingeben, was man benötigt, wenn man als Besitzer der Karte auftreten und Zahlungen damit durchführen möchte. An dieser Stelle habe ich mein Experiment abgebrochen, weil es nun wirklich heikel wird. Die eingegebenen Informationen werden direkt an die Betrüger gesendet und damit sind sie im Besitz von Kreditkarteninformationen.

Das Formular zur Verifikation der MasterCard (Bild: Selbst erstellt)

Noch ein Blick auf die gefälschte Seite

Diese Phishing-Seite ist äußerst gut. Aber auch eine andere Sache sollte misstrauisch machen. Ich habe einmal ausprobiert, ob die anderen Links auf der mutmaßlich gefälschten Seite auf Inhalt verweisen. Und siehe da, überall bekam ich ein Ergebnis. Machen wir noch einmal unseren Test mit der Statuszeile. Ich habe die Maus über einen beliebigen Link bewegt und habe mir das Ergebnis in der Statusleiste angesehen. Auch das ist wieder hochinteressant.

Link zur richtigen Seite von MasterCard (Bild: Selbst erstellt)

Sie sehen, dass der Link auf die Seite http://www.mastercard.com/ verweist. Das ist die Originalseite. Wenn Sie nicht auf diese Kleinigkeiten achten, könnten Sie also den Eindruck erhalten, dass Sie wirklich auf der Seite von MasterCard sind. Es ist nur interessant, dass die richtige Seite und die Startseite, auf die der Link in der Email uns geschickt hat, zwei vollkommen unterschiedliche Adressen sind.

Die Originalseite

Sehen wir uns einmal die Originalseite von MasterCard an: http://www.mastercard.com/de/gateway.html. Sie sehen, dass es sich um eine bemerkenswert gute Fälschung handelt.

Die Originalseite von MasterCard (Bild: Selbst erstellt)

Reaktionen auf den Betrugsversuch

Dies war ein aktuelles Beispiel. Ähnlich analytisch sollten Sie vorgehen, wenn Sie in einer Email um solche Daten gebeten werden. Keine Bank, kein Kreditkartenunternehmen oder ähnliches wird so etwas tun. Wenn Sie sich unsicher sind, rufen Sie bei dem Unternehmen an und fragen Sie nach. Aber geben Sie unter keinen Umständen ihre Daten auf der "Verifikationsseite" ein.

Sollten Sie dies aus Versehen getan haben, melden Sie sich umgehend bei MasterCard und lassen Sie Ihre Karte sofort sperren.

Recherche im Internet

Sie sollten unbedingt das Internet als Informationsquelle nutzen. Kopieren Sie einen Teil des Emailtextes in die Suchmaschine Ihres Vertrauens. Bei Phisingemails werden Sie im Allgemeinen sofort Warnhinweise erhalten. Im folgenden Bild sehen Sie das Ergebnis meiner Googlesuche mit dem Emailtext. Sie sehen, dass es eine ganze Menge Ergebnisse gibt, die auf einen Betrugsversuch hinweisen.

Das Google-Ergebnis mit dem Text der MasterCard-Email (Bild: Selbst erstellt)

Schlusswort

Mir liegt dieses Thema sehr am Herzen, denn nur durch Informieren der Internetnutzer kann man solchen Verbrechern das Leben schwer machen. Sie haben gesehen, dass Sie mit nur wenig Aufwand Hinweise finden können, ob es sich um einen Betrugsversuch handelt. Generell gilt jedoch: Niemand wird solche Daten von Ihnen verlangen, aus welchem Grund auch immer. Wenn jemand solche Daten per Internet und Email haben möchte, kann dies nicht mit rechten Dingen zugehen.

Wenn Sie noch Fragen oder Hinweise haben, schreiben Sie diese bitte in die Kommentare und ich werde den Artikel gerne erweitern, einen weiteren Artikel schreiben oder Fragen direkt in den Kommentaren beantworten.

cuchulainn, am 21.02.2012