Ich möchte noch einmal diese Geschichte von vor neun Jahren aufwärmen, die jedem klar machen sollte, wie Abzocke funktioniert. Alles begann mit dieser Mail von meinem Verwandten Bernd. S. an mich:
From: bernd schiefer [mailto:bernd.schiefer@gmail.com]
Sent: Mittwoch, 29. April 2015 09:46
To: michael.behrens@t-online.de
Subject: Brauche dringend Hilfe und Beistand
lch hoffe du hast dies schnell erhalten, ich bin nach Südzypern verreist und habe meine Tasche verloren samt Reispass und kreditkarte. Die botschaft ist bereit, mich ohne meinen Pass fliegen zu lassen. Ich muss nur noch für mein ticket und die hotelrechnungen zahlen. Leider habe ich kein Geld dabei, meine kredit karte könnte helfen aber die ist auch in der Tasche. Ich habe schon kontakt mit meiner Bank aufgenommen, aber sie brauchen mehr zeit, um mir eine neue zu schicken. Ich muss unbedingt den nächsten Flug bekommen. Ich wollte dich fragen, ob Du mir 1,250 euro so schnell wie möglich leihen kannst. Ich gebe es dir zurück sobald ich da bin. Das Geld durch Westerm Union ist die beste möglichkeit. Ich warte auf deine Antwort.
Mit freundlichen Grüßen,
Bernd.
Kommentar: Im ersten Moment dachte ich, was Bernd in Südzypern macht? Im zweiten Moment war klar: Diese Mail ist gefälscht. Rechtschreibfehler und die Dringlichkeit waren überdeutliche Zeichen für eine Fälschung. Begriffe wie „Südzypern“, die kein Deutscher benutzen würde, Betrag mit Komma statt 1000er Trennungspunkt, Zeitdruck erzeugen, usw. Die Mail selbst stellte dagegen keine Gefahr dar: Es gab keine Anhänge und keinen Link. Der Mailserver hatten keinen Grund, die Mail als gefährlich einzustufen und sie als SPAM zu kennzeichnen. Damit nahmen die Hacker die erste Hürde. Das Einzige, was mir einfiel, bevor ich die Mail in die Ablage Rund (Papierkorb) verfrachtete, war, dass ich dem Bernd antwortete, dass er sich mal seinen Laptop anschauen soll, denn da muss ein Virus drauf sein. Die Hacker werden sich gedacht haben, noch so ein German Idiot, der nichts kapiert.
Die Sache war für mich dann zunächst mal erledigt, kam aber wie ein Bumerang zurück. Denn im Laufe des Tages erhielt ich plötzlich Anrufe aus dem Dunstkreis meiner Verwandtschaft, die sich Sorgen machten und mich fragten, wie sich verhalten sollen und ob der Bernd nicht tatsächlich in Zypern sei und wie man ihm denn nun helfen könnte. Mir dämmerte, dass ich mich des Problems nun doch einmal intensiver annehmen musste. Denn offensichtlich waren die gespeicherten Kontakte genutzt worden, um eine Massenmail zu verschicken.
Wie sich gleich herausstellen sollte, griff ich das Problem zu spät auf. Als ich mir das Google-Konto von Bernd Schiefer anschaute (Passwort habe ich) stand ich zunächst vor dem Problem, dass die Sprache auf Arabisch geändert worden war. Erste Erkenntnis: Das Konto wurde gehackt. Es dauerte eine Viertelstunde, bis ich die Spracheinstellung gefunden hatte. Sorry, aber man beschäftigt sich ja nun nicht täglich mit Google-Einstellungen, zumal ich selber keinen Google-Mail-Account habe. Zum Glück – und aus mir unerfindlichen Gründen – hatten die Hacker das Passwort nicht geändert. Das hätte die Situation erschwert, denn – wie sich herausstellte – war auch die Kontaktadresse, die man im Falle fehlenden Zugriffs nutzt, beim Einrichten der Mailadresse nicht aktiviert worden. Es bleibt das Geheimnis der Hacker, warum sie darauf verzichteten, den Google-Account komplett zu übernehmen – mit noch unangenehmeren Folgen.
Die nächste Erkenntnis war dann, dass es seit der Verschickung der gefälschten Mail keine neuen Mails im Posteingang gab. Nur im Spam-Folder fanden sich Hinweise auf das Problem. Und diese Hinweise hatten es in sich. Denn tatsächlich hatte ein Empfänger – wie vom Angreifer gewünscht – reagiert und gefragt, wie er helfen kann. Der Fisch hatte angebissen und zappelte jetzt an der Angel. Der Mailverkehr, der sich jetzt zwischen Angreifer und Opfer entwickelte, und der dann tatsächlich zu einer Barzahlungsüberweisung in Höhe von 1.250 Euro plus 62,50 Gebühren führte, ist reif für eine Veröffentlichung nach dem Motto: Das kann doch alles nicht wahr sein! Hier der komplette Schriftverkehr:
Opfer (9.12 Uhr): Hallo Ihr beiden,selbstverständlich helfe ich euch gern bin eben erst in Rechner da Schwiegermutter Not-OP im KH und und. Bitte zur Geldüberweisung sofortige Knt-Nr. BLZ und und Haltet durch eure Freunde aus Niedersachsen
Kommentar: Das Helfersyndrom, das uns Deutschen von Geburt an eingepflanzt ist, hat zugeschlagen. Richtig wäre es gewesen, zunächst mal eine Kontrollfrage zurückzustellen, die nur der Eigentümer der Mailadresse wissen kann. Dann würde das Kartenhaus zusammenfallen.
Opfer (9.12 Uhr): Sorry da fällt mir noch ein wenn du dich keinesfalls ausweisen kannst bekommst du das Geld nicht.Hat Hanna ihren Ausweis??? dann müßte ich Hanna S. angeben,bitte antworte schnell weis noch nicht welche Bank das hier macht
Kommentar: Die Hacker werden sich gedacht haben. Wunderbar. Da denkt auch noch jemand mit, Klasse!
Opfer: Ja aber ich brauche deine Daten wo ich das Geld hin über weisen soll Behaltet die NERVEN Liebe Grüße G.
Kommentar: Süß, die Hacker werden sich vor Lachen auf die Schenkel geklopft haben und antworten prompt.
Hacker (10.20 Uhr): Danke für deine Antwort. Western Union ist die beste möglichkeit um Geld zu mir zu schicken. Mit Western Union Du kannst das bei jeder Postagentur erledigen. Du wird tun, einen Transfer von 1,250 Euro auf meinen Namen. Die Informationen unten sind meine daten das Geld über western union zu übertragen. Empfänger: Bernd Schiefer, Adresse: 77 Larnacos Av. Aglantzia Nicosia, 2102, Zypern, Ich verspreche dir dieses Geld zurückzugeben sobald ich zurück bin. Ich erwarte deine Antwort. Danke
Grüßen,
Bernd.
Kommentar: Das Deutsch wird schlechter, aber das bemerkt das Opfer nun nicht mehr.
Opfer (14.35 Uhr): Bitte ganz schnell antworten,da meine Bank die Überweisung nicht tätigt muß ich versuchen eine Bank zu finden die das Geld überweist. Du müßtest dich aber ausweisen können um Bargeld-Transfercode, ein zulösen Gruß.
Opfer (14.40 Uhr): ACHTUNG Geld eben eingezahlt da ich einen neuen Perso erhalte ist meiner nicht gültig bitte Ralf L. Hamburg 5 40000 Bochum angeben, Bartransfercode 0194203742, Bitte Info wenn ihr Geld habt, Viel Glück
Kommentar: Der Super-Gau ist eingetreten. Das Geld ist weg. Aber das weiß das Opfer natürlich noch nicht.
Hacker (15.56 Uhr): Danke für deine hilfe, ich melde mich sobald ich das Geld abgeholt habe. Grüßen, Bernd.
Kommentar: Die Hacker bleiben höflich. Man hat ja schließlich noch mehr vor.
Hacker (16.45 Uhr): Ich habe gerade das Geld abgeholt und ich wollte mich nochmal recht herzlich bei dir Bedanken. Ich komme gerade zurück vom Flughafen und ich habe einen flug fur heute nacht bekommen 22:30 Ortszeit, aber die Fluggesellschaft hat gesagt weil ich ohne Pass fliegen soll ich 1,000Euro bei mir haben falls ein Notfall passieren sollte. Wärest du evtl. in der Lage diese Summe zu schicken und wenn ja wie bald? Sag mir Bescheid ob das möglich ist . Danke. Lg. Bernd.
Kommentar: Dreist aber logisch, die Hacker legen nach. Was einmal funktioniert, funktioniert auch ein zweites Mal…
Opfer (17.03 Uhr): Du must schwindeln damit das du das Geld hast oder willst du noch einmal 62,50 Euro Gebühren zubezahlen.Gleich Antworten muß dann zur Arbeit
Kommentar: Hektik und Stress – wie immer ein schlechter Begleiter
Opfer (17.17 Uhr): Antwort was soll ich machen nochmal 1000 überweisen????
Opfer (17.30 Uhr): Da ich noch keine Antwort habe und die Bank in 30 min schließt fahre ich sofort die 1000 Euro einzahlen bis gleich zum Code
Opfer (17.34 Uhr): Komme eben von der Bank keine Internetverbindung möglich deshalb heute keine Überweisung mehr möglich.Bank hat es 4x probiert tun uns leid. Nächste Möglichkeit das Geld zu über weisen morgen,bitte gebe Bescheid Rolf bleibt am Rechner bis wir Nachricht haben.Haltet durch verliert nicht die NERVEN wir sind in Gedanken bei EUCH LG S.
Kommentar: Das Opfer hat immer noch keinen Verdacht geschöpft. Die Hacker werden sich denken: Diese dummen Deutschen! Könnten einem fast leid tun.
Hacker (17.35 Uhr): Ok, Dankeschön. Ich warte auf deine antwort.
Hacker (18.41 Uhr): Können Sie mir helfen, morgen früh das Geld zu senden? Grüßen, Bernd.
Kommentar: Die Hacker werden nachlässig und verfallen auf das höfliche „Sie“. Konnte ja auch nicht ewig so weitergehen.
Opfer (18.42 Uhr): Wie so, können Sie mir helfen??? ich bin verunsichert,schreibst du Bernd selbst oder lässt du Schreiben,bitte antworte noch mal
Kommentar: Eine erste Nachfrage kommt, aber so richtig begriffen hat das Opfer den Sachverhalt noch nicht.
Hacker (19.37 Uhr): Danke für deine Hilfe.
Opfer (19.06 Uhr): Danke für deine Hilfe was meinst du damit??? ohne Klarheit der letzten beiden E-Mail KEIN Geld LG S
Hacker (19.13 Uhr): Kein problem, morgen früh das Geld senden. Danke.
Opfer (20.12 Uhr): Habe keinen Plan, wie soll das gehen wenn du heute 22:30 fliegen willst und wir das Geld erst morgen überweisen bis dann Rolf
Kommentar: Viel zu spät entdeckt die Opferfamilie die Widersprüche. Aber erst nach einem Anruf von mir wird ihnen das ganze Ausmaß klar. Zu spät!
Hier endet der Mailverkehr. Wenig später war ich dann mit von der Partie und habe eine Telko gemacht mit Bernd S. und seinen um 1.250 Euro ärmeren Bekannten.
Zurück zum Google-Konto: Tatsächlich nahm ich mich zunächst der Frage an: Warum kommen keine Mails mehr an? Ich kam aber selber nicht drauf, hielt das dann eher für einen Zufall, zog aber meine Frau zu Rate. Sie, die sich mit Internet eigentlich nicht so auskennt und diese Angelegenheiten grundsätzlich mir überlässt, meinte lapidar: Vielleicht sind ja die Mails umgeleitet. Respekt! Hätte ich auch selber drauf kommen können. Ich vergrub mich also erneut in die Google-Einstellungen und – tatsächlich! Alle Mails wurden umgeleitet, und dies ziemlich intelligent. Die korrekte Mailadresse lautet bernd.schiefer@gmail.com. Die Umleitungsadresse hieß bernd.schiefer@mail.com. Unterschied erkennbar? Der kleine fehlende Buchstabe „g“ ist es. Damit hatten die Angreifer eine zweite Hürde genommen. Der Mailverkehr musste nun nicht mehr über das gehackte Konto erfolgen, sondern wurde von nun an am google-Konto vorbeigeleitet, und die Antworten der Hacker erfolgten über die „neue“ Mailadresse. Die Hacker konnten nun mit der Umleitungsadresse antworten und konnten darauf vertrauen, dass die Angeschriebenen die Absende-Mailadresse für echt halten. Wer achtet schon auf den Unterschied, wenn die Sache „eilig“ ist? Die Logik der Angreifer ist klar: Selbst wenn dem Eigentümer des Mail-Accounts das Problem bewusst wird und das Passwort geändert wird, können die Hacker, die sich zu diesem Zeitpunkt bereits im Besitz aller Kontakte befinden, mit der neuen Adresse munter weiter agieren. Der Google-Account ist nicht mehr interessant für sie. Hauptsache, die Umleitung ist noch aktiv.
Eine zweite Auffälligkeit im Konto gab es: Alle gespeicherten Kontakte waren weg. Stattdessen war eine völlig fremde Kontaktliste importiert worden. Wie konnte das geschehen und warum dieser Schachzug? Wie es geschehen konnte, ist technisch klar. Google-Mail bietet zum Einen natürlich die Möglichkeit, mit wenigen Tastenklicks alle Kontakte zu löschen. Zum anderen können Kontakte natürlich auch importiert werden. Genau das war hier geschehen. Was mit dem Import bezweckt wurde, bleibt aber im Verborgenen. Was lernen wir daraus:
- Passwörter müssen stark sein. Das Google-Passwort meines Bekannten Bernd S. war schwach
- Zwei-Faktor-Authentifizierung ist angesagt
- Jede Mail kritisch betrachten. Die Absenderadresse ganz genau checken. Hilfreich ist natürlich, seine Kontakte penibel zu pflegen. Wenn dann in einer ankommenden Mail eine geringfügige Abweichung ist – wie hier das „g“ von gmail, dann fällt das eher auf
- Niemals in Hektik geraten. Weiterhin rational denken und handeln
- Man muss technologisch ein wenig „dran“ bleiben, um sich nicht „kalt“ erwischen zu lassen