Wie Cybergauner ihre Spam-Listen optimieren
Das NCSC verzeichnet häufiger Fälle, in denen Cyberkriminelle das Verhalten von potenziellen Opfern mit einem simplen Trick ausspionieren. Sie verschicken Drohmails mit einer Aufforderung zur Lesebestätigung - und optimieren so ihre Spamverteiler.
Das Nationale Zentrum für Cybersicherheit (NCSC) hat in der vergangenen Woche mehrere Betrugsversuche registriert, die eines gemeinsam haben: Die Absender wollen in einem ersten Schritt prüfen, ob ihre E-Mail überhaupt ankommt - und wie die Empfänger darauf reagieren. Ziel dieses Vorgehens ist es, über möglichst erfolgversprechende Spam-Listen zu verfügen, wie das NCSC in seinem aktuellen Wochenrückblick schreibt.
Einmal geöffnet, schon auf der Liste
Die Angreifenden nutzen zu diesem Zweck schon seit längerem externe Inhalte, um sich den Erhalt einer E-Mail bestätigen zu lassen. Sie binden in ihren Mails beispielsweise kleine, oftmals unsichtbare Bilder ein, die beim Öffnen der Mail von einem Server der Spammer geladen werden und letzteren somit dem Empfang der E-Mail signalisieren. Auf diese Weise können die Angreifenden überprüfen, welche Mails geöffnet wurden und welche nicht. Für die Empfänger bedeutet das: Wer eine betrügerische E-Mail öffnet, bekommt mit hoher Wahrscheinlichkeit noch weitere.
Abgesehen von der Bestätigung erhalten die Spammer auch Informationen über den verwendeten Browser und das verwendete Betriebssystem. Die Angreifenden wissen also nicht nur, welche Personen für Betrügereien anfällig sind - sie können künftige Angriffe auch ganz gezielt auf das verwendete Betriebssystem ausrichten.
Das NCSC beobachtet auch immer wieder Betrugs- oder Phishing-E-Mails mit personalisierten Links. Somit sehen die Absender ganz genau, welche Empfänger angebissen haben oder zumindest auf den ersten Schritt des Betrugs hereingefallen sind.
Vorsicht vor Aufforderungen zur Lesebestätigung
Die vom NCSC aktuell verzeichnete Zunahme an Betrugsversuchen per E-Mail basiert allerdings auf einer anderen Methode zum Ausspionieren des Nutzungsverhaltens. Zurzeit verschicken die Spammer häufig Drohmails mit einer Aufforderung zur Lesebestätigung. Wer eine solche Aufforderung annimmt, bestätigt dem Absender, dass die Nachricht tatsächlich geöffnet wurde. Wer hingegen die E-Mail bereits in der Vorschau löscht oder ignoriert, vermeidet den Versand einer Empfangsbestätigung.
Frage von Outlook, ob eine Lesebestätigung gesendet werden soll. (Source: NCSC)
Angreifende machen auf diese Weise eine erste Triage und sehen, bei welchen Empfängern der Angriff ins Leere läuft und bei wem allenfalls eine Chance besteht, auf Betrugsmaschen hereinzufallen.
Dem NCSC liegen Erfahrungsberichte von Usern vor, die eine solche Drohmail geöffnet und die Aufforderung zur Lesebestätigung angenommen haben. Schon nach kurzer Zeit hätten die Adressaten weitere Mails mit zunehmenden Druckversuchen erhalten. Die Angreifer würden sich in den weiteren Schreiben jeweils auf das erste Mail beziehen - aufgrund der erteilten Lesebestätigung wissen sie, dass das Opfer zumindest die E-Mail geöffnet hat.
Empfehlungen des NCSC
In vielen Fällen ist die Deaktivierung der Lesebestätigung sicherlich sinnvoll, wie das NCSC schreibt. Zumindest sollte man aber im Mailprogramm einstellen, dass jedes Mal nachgefragt wird, ob eine solche Lesebestätigung erfolgen soll.
Bei Microsoft Outlook findet man die entsprechende Funktion im Menü "Datei" unter "Optionen". Wählen Sie hierfür die Rubrik "E-Mail" und scrollen Sie nach unten bis zur Rubrik "Verlauf". Hier können Sie die Lesebestätigung ganz ausschalten oder jedes Mal nachfragen lassen, ob eine Lesebestätigung gesendet werden soll.
Übrigens: Im vergangenen Juni verzeichnete das NCSC ein Rekordhoch an Meldungen. Die Behörde machte denn auch darauf aufmerksam, dass Phishing-Mails immer raffinierter werden und sich mittlerweile nur noch durch schwer erkennbare Fehler entlarven lassen. Praktische Tipps, mit denen man Phishing-Versuche dennoch (fast) immer erkennen kann, finden Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.