Sven Rautenberg: Die Mailsortierung. Heute: Legitim oder gephischt?

Moin!

Heise berichtet gerade über schon die zweite Folge des Quizzes "Wie gut erkennen Sie Phishing-Mails?"

Ich muß sagen: Die Unternehmen machen es einem tatsächlich nicht leicht. Präsentiert wird einem eine Auswahl von zehn Mails als Screenshot von Outlook, zu denen man sich jeweils entscheiden muß, ob man die Mail für real echt hält, oder ob sie eine Fälschung ist. Ganz unten ist exemplarisch auch die URL eines Links dieser Mails angezeigt.

Mein Score: 7 von 10 richtig erkannt, drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim. Mißtrauen ist also nicht grundsätzlich böse.

Merke: Es hilft sehr, wenn Firmen die Links in ihren Mails auf _vernünftige_ Domains und Adressen zeigen lassen. Hier in irgendeiner Weise irgendeinen technischen Unsinn zu treiben, setzt die Akzeptanz von Mails ganz erheblich herab.

Der Test ist unter http://survey.mailfrontier.com/survey/quiztest.html erreichbar.

  • Sven Rautenberg
  1. hi,

    Mein Score: 7 von 10 richtig erkannt,

    8 von 10.

    drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim.

    bei mir zwei solche "false positives".

    Merke: Es hilft sehr, wenn Firmen die Links in ihren Mails auf _vernünftige_ Domains und Adressen zeigen lassen.

    volle zustimmung.
    die beiden, die ich fälschlicherweise als phishingversuch eingestuft hatte, waren die bank of america mit ihrem auf http://links.bankofamerica1.com:8082/... und capital one mit ihrem auf http://capitalone.bfi0.com/... zeigenden link.

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. Hallo wahsaga,

      die beiden, die ich fälschlicherweise als phishingversuch eingestuft hatte, waren die bank of america mit ihrem auf http://links.bankofamerica1.com:8082/... und capital one mit ihrem auf http://capitalone.bfi0.com/... zeigenden link.

      bei mir das gleiche Ergebnis mit der gleichen Begründung. Wenn ich Mails mit dubiosen Links erhalte, lösche ich sie sofort. Allerdings hätte ich von den zehn, wenn sie zu mir gekommen wären, keine ganz gelesen und alle gelöscht. Mails im HTML-Format sind mir immer suspekt.

      Gruß, Jürgen

      1. Moin!

        bei mir das gleiche Ergebnis mit der gleichen Begründung. Wenn ich Mails mit dubiosen Links erhalte, lösche ich sie sofort.

        Richtig, insbesondere diese dubiosen Links werden den Mails zum Verhängnis. Den Mailtext hab ich mir nicht durchgelesen, sondern bin direkt auf die Linkanzeige angesprungen.

        Ich hatte auf meiner Liste noch die Mail von der Chase Manhattan, deren Link zu email.chase.com mir suspekt (mit Unsicherheitsfaktor, ob das richtig ist) vorkam - wäre ich dort Kunde, wäre mir die Domain chase.com vermutlich als "richtig" bekannt gewesen.

        Allerdings hätte ich von den zehn, wenn sie zu mir gekommen wären, keine ganz gelesen und alle gelöscht. Mails im HTML-Format sind mir immer suspekt.

        In der Tat enthält keine Mail irgendeinen wertvollen Inhalt.

        • Sven Rautenberg
    2. Hi,

      die beiden, die ich fälschlicherweise als phishingversuch eingestuft hatte, waren die bank of america mit ihrem auf http://links.bankofamerica1.com:8082/... und capital one mit ihrem auf http://capitalone.bfi0.com/... zeigenden link.

      dito. Allerdings finde ich die Begründung, warum dise Mails korrekt sein sollen, recht fadenscheinig. Diese Unternehmen werden es nicht nötig haben, Werbung unter fremden Domains zu verschicken und im Fall der Bank of America bestimmt auch nicht unter einem Port, der viele Firewalls anspringen läßt.

      freundliche Grüße
      Ingo

  2. Hi!

    Habe den Test nach den ersten 5 Mails abgebrochen und mir das Ergebnis angesehen. Erstens ist mein Englisch leider nicht mehr gut genug und zweitens wäre alle Mails bei mir gelöscht worden - ich steh nicht so auf Werbung, auch wenn sie nicht gefälscht ist...

    Gruß

    Martin, der Phishing via Trojaner mittlerweile für gefährlicher hält

  3. Hi,

    Heise berichtet gerade über schon die zweite Folge des Quizzes "Wie gut erkennen Sie Phishing-Mails?"
    Mein Score: 7 von 10 richtig erkannt,

    Hm. Anhand von Bildern soll man das erkennen?
    Ich halte den Test für unrealistisch.

    8 von den 10 würde ich von vornherein als Junk/Spam/Phishing einsortieren, wenn sie bei mir eintreffen, weil ich mit 8 von den 10 "Firmen" nichts am Hut habe.

    Die beiden anderen hab ich richtig erkannt. Und das, obwohl die Bilder von der HTML-Version der Mail sind - ich mir aber immer die Text-Version (und das auch noch in einem ganz anderen Programm) anzeigen lasse.

    cu,
    Andreas

    --
    Warum nennt sich Andreas hier MudGuard?
    Schreinerei Waechter
    Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
    1. hi,

      8 von den 10 würde ich von vornherein als Junk/Spam/Phishing einsortieren, wenn sie bei mir eintreffen, weil ich mit 8 von den 10 "Firmen" nichts am Hut habe.

      deine abstraktionsfähigkeit ist wieder mal bewundernswert :-)

      gruß,
      wahsaga

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
  4. Tag Sven.

    "Wie gut erkennen Sie Phishing-Mails?"

    Ohne zu mogeln 10 von 10 richtig :-)

    Siechfred, König der Phisher

    1. Hallo Siechfred, König der Phisher,

      Ohne zu mogeln 10 von 10 richtig :-)

      Willkommen im Club!
      Ich war auch nicht bei allen zehn Kandidaten sicher, habe aber nach kurzem Zögern jeweils das "richtige" Urteil abgegeben. Dabei habe ich mich weniger von auffälligen Links irritieren lassen, sondern mehr auf den Inhalt geachtet. Und die unsicheren Kandidaten haben nur allgemeines Blabla im Text gehabt, typisches Werbegesülze. Das ist zwar lästig, aber nicht weiter schlimm - und deshalb habe ich sie als echt eingestuft.

      So long,

      Martin

      1. Hallo!

        Ohne zu mogeln 10 von 10 richtig :-)

        Willkommen im Club!
        Ich war auch nicht bei allen zehn Kandidaten sicher, habe aber nach kurzem Zögern jeweils das "richtige" Urteil abgegeben. Dabei habe ich mich weniger von auffälligen Links irritieren lassen, sondern mehr auf den Inhalt geachtet. Und die unsicheren Kandidaten haben nur allgemeines Blabla im Text gehabt, typisches Werbegesülze. Das ist zwar lästig, aber nicht weiter schlimm - und deshalb habe ich sie als echt eingestuft.

        Jo, genau so war es bei mir. Ging ja nicht um SPAM oder sowas.

        Grüße
        Andreas

        --
        SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
    2. Hallo Siechfred,

      Ohne zu mogeln 10 von 10 richtig :-)

      Ich hatte nur 9 von 10 richtig, das fasche war der Amazon Phishing-Versuch,
      der war so offensichtlich, dass ich schnell weiter gemacht und das
      falsche erwischt habe, also ein Flüchtigkeitsfehler :-(

      Gruß
      Alexander Brock

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
  5. Lieber Sven,

    Mein Score: 7 von 10 richtig erkannt, drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim. Mißtrauen ist also nicht grundsätzlich böse.

    Auch ich habe nur 70% richtig gehabt. Allerdings immer im Fehlerfalle für "fraudulent" getippt. Ergo bin ich vorsichtiger, als nötig. Und solche Mails wandern bei mir _grundsätzlich_ in den Spam-Ordner, wobei ich das Anti-Spam-Team meines Providers über diese Mails _immer_ informiere, auf dass der Spam-Filter noch besser werde.

    Liebe Grüße aus Ellwangen,

    Felix Riesterer.

  6. Sup!

    Hatte vier falsch-positive (in Bezug auf Phising) Beurteilungen, aber keine falsch-negative.

    Gruesse,

    Bio

    --
    Never give up, never surrender!!!
  7. Hallo,

    Mein Score: 7 von 10 richtig erkannt,

    Meiner: 9 von 10. Dabei war die falsche eine fälschlicherweise als Phish eingestuftes echte Mail.

    Merke: Es hilft sehr, wenn Firmen die Links in ihren Mails auf _vernünftige_ Domains und Adressen zeigen lassen.

    Da stimme ich dir zwar zu, jedoch ist ein noch viel wichtigeres Argument: Bekomme ich eine der berühmten Postbank-und-dergleichen-Mails, ist die Einstufung schon ein leichtes, wenn ich bei dieser bank gar kein Konto habe.
    Daher ist der test auch leicht sinnfrei, da ich ja nicht weiß, ob der gute Herr Example ein Konto bei der Bank of America hat oder nicht.

    Gruß -
    Sebastian

    1. Moin!

      Merke: Es hilft sehr, wenn Firmen die Links in ihren Mails auf _vernünftige_ Domains und Adressen zeigen lassen.
      Da stimme ich dir zwar zu, jedoch ist ein noch viel wichtigeres Argument: Bekomme ich eine der berühmten Postbank-und-dergleichen-Mails, ist die Einstufung schon ein leichtes, wenn ich bei dieser bank gar kein Konto habe.
      Daher ist der test auch leicht sinnfrei, da ich ja nicht weiß, ob der gute Herr Example ein Konto bei der Bank of America hat oder nicht.

      Doch, einen Sinn sehe ich schon in diesem Test. Gehe einfach davon aus, der Herr Example wäre bei allen diesen Banken Kunde, die Mail also nicht schon allein aufgrund ihrer Existenz verdächtig.

      Die Aufgabenstellung ist: Wie unterscheide ich legitime, mir von meiner Banken und Dienstleistern zugeschickte Mails von denen, die mir von Phishern gemailt werden?

      Antwort: Indem die legitimen Mails ultra-seriös rüberkommen. Und da man die Fälschung von eingebundenen Bildern, Texten, Inhalten etc. bis aufs Bit problemlos realisieren kann, bleiben als einziger Ansatzpunkt nur noch die verlinkten URLs.

      Ich würde diesen Test durchaus als "Firmen, so verhindert ihr, dass eure Mails als böse Phishing-Versuche angesehen werden"-Leitfaden verstehen. :) Abgesehen von der noch viel besseren Lösung, welche z.B. von meiner Bank mittlerweile genutzt wird:
      "Wenn Sie auf das Dokument zugreifen möchten, rufen Sie bitte auf unserer Website Ihre Postbox im Persönlichen Bereich auf." in der text/plain-Mail (Mailbenachrichtigung muß man explizit wünschen).

      • Sven Rautenberg
    2. n'Abend!

      Merke: Es hilft sehr, wenn Firmen die Links in ihren Mails auf _vernünftige_ Domains und Adressen zeigen lassen.
      Da stimme ich dir zwar zu, jedoch ist ein noch viel wichtigeres Argument: Bekomme ich eine der berühmten Postbank-und-dergleichen-Mails, ist die Einstufung schon ein leichtes, wenn ich bei dieser bank gar kein Konto habe.

      Ja, das ist natürlich schon ein k.o.-Kriterium, wenn du selbst eine solche Mail bekommst.
      Für mich selbst gestaltet sich das in der Praxis sogar noch radikaler: Wenn ich von einer Bank -selbst wenn ich dort Kunde bin- per email angeschrieben werde, ist für mich _sofort_ der Fall klar. Das kann nichts Seriöses sein. Denn keine der Banken, mit denen ich zu tun habe, kennt meine email-Adresse(n). Zumindest nicht von mir.

      Ciao,

      Martin

  8. Hallo Sven,

    Mein Score: 7 von 10 richtig erkannt, drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim.

    Mir erging es ebenso. Welche waren es bei Dir? Ich hielt die von "Chase", "Bank of America" und "Capital One" für Phishing-Mails - allerdings habe ich auch *nach* den Erläuterungen immer noch nicht verstanden, warum die legitim gewesen sein sollten (es steht ja dort auch drin, dass da einiges dagegen spricht).

    Viele Grüße,
    Christian

    1. Moin!

      Mir erging es ebenso. Welche waren es bei Dir? Ich hielt die von "Chase", "Bank of America" und "Capital One" für Phishing-Mails - allerdings habe ich auch *nach* den Erläuterungen immer noch nicht verstanden, warum die legitim gewesen sein sollten (es steht ja dort auch drin, dass da einiges dagegen spricht).

      Die "Chase"-Domain sah nur blöd aus, weil ich mit der korrekten Domain nicht vertraut war. chase.com hätte von jedermann registriert sein können - da war ich mir nicht wirklich sicher, wollte aber im Zweifel nicht auf der bösen Seite danebenliegen.

      Die beiden anderen Mails habe ich exakt wegen ihrer Domains auch falsch eingeschätzt.

      • Sven Rautenberg
    2. Hi,

      Ich hielt die von "Chase", [...] für Phishing-Mails

      wieso? Der angezeigte Absender "Chase Credit Cards" und der Name "Chase" paßt doch zur Domain "chase.com". Eine Subdomain für eMail-Spam einzurichten, ist doch nicht verdächtig, oder?

      freundliche Grüße
      Ingo

      1. Hallo Ingo,

        Ich hielt die von "Chase", [...] für Phishing-Mails
        wieso? Der angezeigte Absender "Chase Credit Cards" und der Name "Chase" paßt doch zur Domain "chase.com". Eine Subdomain für eMail-Spam einzurichten, ist doch nicht verdächtig, oder?

        Irgendwie kam mir die Mail an sich vom generellen Eindruck her verdächtig vor - nicht wegen der Subomain.

        Viele Grüße,
        Christian

        1. Hi,

          Irgendwie kam mir die Mail an sich vom generellen Eindruck her verdächtig vor

          mir zwar auch - allerdings beschränkte sich das dann - nachdem ich die Absenderdomain sah - darauf, daß ich mich wunderte, wieso eine real existierende Bank solche Spam-Mails verschickt.

          freundliche Grüße
          Ingo

  9. Hallo Sven,

    Mein Score: 7 von 10 richtig erkannt, drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim. Mißtrauen ist also nicht grundsätzlich böse.

    Mein Score: 8 von 10, wobei ich die beiden nicht erkannten zu Unrecht als "phishing" eingestuft habe. Allerdings habe ich mich dabei nur auf mein "Bauchgefühl" und dem was im Text steht verlassen. Wahrscheinlich wäre mein Ergebnis besser ausgefallen, wenn man in den Quelltext hätte sehen können oder ich ein whois oder gar noch weitere Nachforschungen bezüglich der Url betrieben hätte.

    Eigentlich schade, daß es so einen "Test" nicht mit zeitnah (täglich?) aktualisierten Neukreationen der Phisher gibt. Aber vielleicht ist es auch gut so daß es das nicht gibt, damit nicht auch die Phisher ihre Methoden verfeinern können.

    Grüsse
    Frankie

    1. Moin!

      Mein Score: 8 von 10, wobei ich die beiden nicht erkannten zu Unrecht als "phishing" eingestuft habe. Allerdings habe ich mich dabei nur auf mein "Bauchgefühl" und dem was im Text steht verlassen. Wahrscheinlich wäre mein Ergebnis besser ausgefallen, wenn man in den Quelltext hätte sehen können oder ich ein whois oder gar noch weitere Nachforschungen bezüglich der Url betrieben hätte.

      Mir persönlich hatte eigentlich nur der komplette Mailheader gefehlt. Aber mal ernsthaft betrachtet: Würdest du tatsächlich einen riesigen Aufwand mit Quelltext, Whois etc. betreiben, nur um die Echtheit einer fragwürdigen Mail zu bestätigen? Wäre mir viel zu Aufwendig.

      • Sven Rautenberg
      1. Hallo Sven,

        Mir persönlich hatte eigentlich nur der komplette Mailheader gefehlt. Aber mal ernsthaft betrachtet: Würdest du tatsächlich einen riesigen Aufwand mit Quelltext, Whois etc. betreiben, nur um die Echtheit einer fragwürdigen Mail zu bestätigen? Wäre mir viel zu Aufwendig.

        Naja, ich bin halt nicht so der Experte und habe mich vielleicht unklar ausgedrückt. Natürlich tut es normalerweise auch ein Blick in den Header, aber bei Mails welche HTML-formatiert sind (die ich als fast-nur-Text-Mail-Leser oft mur unvollständig zu Gesicht bekomme, und auch seriöse Mails werden leider oft als "nur Html" verschickt), lohnt meiner Meinung auch mal ein Blick in den Quelltext, wohin die Links eigentlich führen. Manchmal ist es auch so, daß selbst als seriös bekannte Anbieter (z.B. Amazon) mit mir nicht bekannten Adressen arbeiten, und falls ich wirklich einen Geschäftsvorgang über die in einer solchen Mail angegebenen und mir bis dahin unbekannten Adressen tätigen wollte, vergewisserte ich mich schon, z.B. über Whois, ob die Adresse auch dem vermeintlichen Absender zugeordnet werden könnte. Wahrscheinlich ist das auch nicht sicher(er), ich machs halt. Aber das ist, was mich angeht, alles auch nur theoretischer Natur, da sich die Anzahl der mich möglicherweise betreffenden Mails dieser Art glücklicherweise in Grenzen hält. Damit meine ich nicht den (stark zunehmenden, derzeit ca. 50/Tag) Phishing-Spam den ich täglich bekomme, sondern Mails von Institutionen mit denen ich zu tun habe oder hatte oder haben will.

        Grüsse
        Frankie

  10. Hallo,

    Mein Score: 7 von 10 richtig erkannt, drei Mails habe ich unzutreffenderweise als Phishing-Versuch erkannt, sie waren aber legitim. Mißtrauen ist also nicht grundsätzlich böse.

    9 von 10 bei einem falsch positiven. Würde ich allerdings bei meinen Mails den gleichen zeitlichen Aufwand treiben um mir zu überlegen, ob die Mail Spam ist oder nicht, dann wäre mir das zuviel. In meiner Mailbox wären mindestens 7 ungelesen gelöscht worden.

    Grüße
    Marcus

    --
    Wenn der Weg das Ziel ist, ist das Ziel dann weg?
  11. hi,

    aktuell mal wieder einen netten versuch bekommen von "aw-confirm@ebay.com", die mich auffordern, mich zum sichern meines accounts unter
    http;//cgi.ebay.com/saw-cgi/eBayISAPI.dll?RegisterEnterInfo&siteid=1&
    (achtung, fake! sollte eigentlich klar sein, aber sicher ist sicher ...) einzuloggen.

    und was sehe ich beim aufruf dieser seite oben als favicon - den hübschen, bunten schmetterling von MSN!
    man kann sich also denken, dass die verlinkte domain atouchofheaveninc.org auch noch als ziel anderer phish-versuche eingesetzt wird ... wobei, wenn man sich die hauptseite mal ansieht, sieht die eigentlich unverfänglich aus, normale kleine homepage eben - also eventuell ein gehackter server, den die phisher da für ihre zwecke missbrauchen?

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }