Dreist gephisht ist gut verdient

Die Mail kam von einer guten Freundin: Sie sei nach Schottland gereist, hier sei ihr Koffer, Telefon, Geldbeutel, EC-Karte und einfach alles geklaut worden. Sie benötige dringend Hilfe. Also: Bargeld.

Betreff: Hallo
Von: Cornelia XXXXX <corneliaXXXXX@yahoo.de>
Datum: 24.10.2012 07:46

Ich hoffe du kriegst diese Nachricht rechtzeitig. Ich habe einen 
Ausflug nach Aberdeen in Schkotland gemacht und dabei wurde meine 
Tasche mit Reisepass, Bargeld, und meine Kreditkarten gestollen. 
Habe schon meine Bank informiert, aber die Arbeiten nicht so schnell 
wie ich es haben will. Kannst du mir ein bischen Geld borgen damit 
ich alles erledigen kann und zur recht komme. Ich gebe dir das Geld 
so schnell wie möglich zuruck.

Das Geld durch Western Union ist die beste möglichkeit. Lass mich 
wissen wenn du angaben zur meiner person brauchst (Name, 
Vorname ...) mich das Geld schiken zu können. Du kannst mich durch 
e-mail oder durch die Hotel Reception erreichen kann unter 
di nummer +447031804805.

Ich warte auf deine Antwort.

Liebe Grüsse
Cornelia XXXXXXXX

Das (spätere) Opfer war nicht unbedingt naiv, die zahlreichen Schreib- und Tippfehler waren durch eine MS-Erkrankung (Multiple Sklerose) der Freundin und die fremdsprachige Tastatur erklärbar. Natürlich versuchte es, die angegebene Hotel-Telefonnummer in Schottland zu erreichen, aber das klappte irgendwie nicht — im Nachhinein natürlich logisch und offensichtlich. Aber die Mail kam von der bekannten Yahoo-Mailadresse der Freundin — und auf Nachfrage dort antwortete sie auch prompt. Nach einem kleinen Mailwechsel hin und her war das Opfer überzeugt — und wies 1.000 EUR per Western Union Moneytransfer an.

Erst ein/zwei Stunden später kamen Zweifel auf. Die Freundin, in Schottland? Davon hatte sie gar nichts gesagt. Und das, obwohl sie an MS erkrankt ist und schon lange nicht mehr richtig wegfährt?

Ein Anruf auf dem (angeblich geklauten) Handy zauberte eine verdutzte Freundin zu Tage, die nicht beklaut worden war — und brav zu Hause im Wohnzimmer saß. Ein Anruf bei Western Union stoppte den Geldtransfer schnell und unkompliziert; die Betrüger hatten sich das Geld ihrerseits noch nicht auszahlen lassen.

Soweit, so üblich — aber doch auffallend, daß die Freundin im Vorfeld immerhin ausspioniert worden sein muß, um an Freunde und Opfer aus deren Mailkontakten gelangen zu können. Und immerhin fand ein mehrfacher Mailwechsel statt — war Ihr Webaccount gehackt oder Ihr Computer infiziert? Die genaue Ursache hier ist derzeit noch nicht analysiert, aber fest steht schonmal: Das Mail-Postfach der Freundin wurde für den Mailwechsel nicht genutzt.

Stattdessen findet sich in den Mail-Headern der allerersten E-Mail ein ebenso gemeiner, wie simpler, wie gut funktionierender Trick:

From: Cornelia XXXXXX <corneliaXXXXX@yahoo.de>
Reply-To: cornelliaXXXXXXX@yahoo.de

Die Mail wurde zunächst tatsächlich unter der Mailadresse der Freundin abgeschickt, doch gleichzeitig wurde die Antwort des Opfers über das gesetzte Reply-To: auf ein anderes Postfach umgelenkt. Man beachte: Das Postfach der Opfer hatte zwei „l“ im Namen Cornel(l)ia! Die Betrüger hatten sich im Vorfeld gut vorbereitet und eine (fast) identische Mailadresse dafür registriert. Und, logisch: Gerade Buchstaben wie „l“ oder „i“ bieten sich für solche leicht überschaubaren Doppelungen gut an. Der spätere Mailwechsel fand dann über das von den Betrügern genutzte Postfach statt — und wirkte weiterhin glaubwürdig.

Wie die Geschichte weiterging

Wenig später meldeten sich die Phisher erneut:

Ich habe gerade das Geld abgeholt und ich wollte mich nochmal recht 
herzlich bei dir Bedanken: ich komme gerade zurück vom Flughafen und 
ich habe einen flug fur heute nacht bekommen 22:30 Ortszeit, aber 
die Fluggesellschaft hat gesagt weil ich ohne Pass fliegensoll ich 
1100€ bei mir haben falls ein Notfallpassieren sollte. Wärest du 
evtl. in der Lage diese Summe zu schicken und wenn ja wie bald? 
Sag mir Bescheid ob das möglich ist .
Danke,

Zu diesem Zeitpunkt war das Geld jedoch bereits bei Western Union gesperrt; die Aussage, es sei abgeholt worden, war nicht wahr.

Daß das Geld bereits wieder gesperrt war, haben die Phisher erst einen weiteren Tag darauf bemerkt — und ließen es sich nicht nehmen, einen letzten zickigen Abschiedsgruß zu senden:

Sie gingen also und holte das Geld zurück .......
Dieser Beitrag wurde unter Blog, Security, Spam abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.