Woche 34: Wenn Angreifer versuchen, das Verhalten der E-Mail-Empfängerinnen und -Empfänger herauszufinden

29.08.2023 - Betrüger nutzen verschiedene Methoden, um ihre Spam-Listen zu optimieren. In der letzten Woche sind dem NCSC Betrugs-E-Mails aufgefallen, welche hierzu die Funktion «Lesebestätigung» missbrauchen. Bestätigt der Empfänger in diesen Fällen, dass er die E-Mail geöffnet und gelesen hat, erhält er weitere Betrugs-E-Mails, die den Druck erhöhen und zur Zahlung drängen.

Betrüger nutzen verschiedene Methoden, um über möglichst erfolgsversprechende Spam-Listen zu verfügen. So prüfen sie, ob die E-Mail überhaupt angekommen ist, ob der Empfänger die E-Mail erhalten und geöffnet hat, und ob er auf den Link geklickt hat. Schon seit langer Zeit werden hierzu beispielsweise so genannte externe Inhalte genutzt, um den Erhalt einer E-Mail zu bestätigen. Dabei werden in die E-Mail sichtbare oder «unsichtbare» Bilder eingebunden, die beim Öffnen von einem Server geladen werden, die unter der Kontrolle der Spammer steht. Sind diese Links personalisiert, kann der Angreifer genau sehen, welche E-Mails geöffnet wurden und welche nicht. Empfänger, die die E-Mail geöffnet haben, erhalten mit hoher Wahrscheinlichkeit noch mehr betrügerische E-Mails. Neben der Bestätigung erhält der Angreifer auch Informationen über den verwendeten Browser und das verwendete Betriebssystem. Die Angreifer wissen also nicht nur, welche Personen für Betrügereien anfällig sind, sondern können zukünftig ihre Angriffe auch ganz gezielt auf das verwendete Betriebssystem ausrichten. Auch werden immer wieder Betrugs- oder Phishing-E-Mails mit personalisierten Links beobachtet. Die Angreifer sehen so genau, welche Empfänger angebissen haben oder zumindest auf den ersten Schritt des Betrugs reingefallen sind.

In der vergangenen Woche wurden dem NCSC Betrugs-E-Mails gemeldet, bei denen eine andere Methode zum Ausspionieren des Nutzerverhaltens zum Einsatz kommt. So wurde in mehreren Fällen bei den bekannten «gefälschten Drohmails von Behörden» eine Aufforderung zu einer «Lesebestätigung» versendet. Diese Message Disposition Notification (MDN) dient dazu, eine Empfangsbestätigung einer elektronischen Nachricht an dessen Versender zu senden, sobald dieser die Nachricht tatsächlich geöffnet und angeschaut hat. Löscht oder ignoriert der Empfänger die E-Mail bereits in der Vorschau, wird keine Bestätigung gesendet. Angreifer machen auf diese Weise eine erste Triage und sehen, bei welchen Empfängern der Angriff ins Leere läuft und bei welchen Empfängern allenfalls eine Chance besteht, dass sie auf den Angriff hereinfallen.

Frage von Outlook, ob eine Lesebestätigung gesendet werden soll.
Frage von Outlook, ob eine Lesebestätigung gesendet werden soll.

Dass diese Funktion von Betrügern auch tatsächlich genutzt wird, zeigen die Erfahrungsberichte der Melder, die eine solche Droh-Mail mit einer Lesebestätigung geöffnet haben. Nach kurzer Zeit folgte eine weitere E-Mail, um den Druck zu erhöhen. Dabei wird auf die erste E-Mail Bezug genommen. Die Angreifer wissen dank der Lesebestätigung, dass das Opfer zumindest die E-Mail geöffnet hat.

In vielen Fällen ist die Deaktivierung der Lesebestätigung sicherlich sinnvoll. Zumindest sollte man aber einstellen, dass jedes Mal nachgefragt wird, ob eine solche Lesebestätigung erfolgen soll.

Bei Outlook finden Sie die entsprechende Funktion im Menü «Datei» unter «Optionen». Wählen Sie hier die Rubrik «E-Mail» und scrollen Sie nach unten bis zur Rubrik «Verlauf». Hier können Sie die Lesebestätigung ganz ausschalten oder jedes Mal nachfragen lassen, ob eine Lesebestätigung gesendet werden soll.

Deaktivierung der automatischen Lesebestätigung in Outlook
Deaktivierung der automatischen Lesebestätigung in Outlook
Deaktivierung der automatischen Lesebestätigung in Thunderbird
Deaktivierung der automatischen Lesebestätigung in Thunderbird

Empfehlungen:

  • Schalten Sie die automatische Lesebestätigung bei Ihrem E-Mail-Programm aus;
  • Klicken Sie in Phishing- und Betrugs-E-Mails nicht auf den Link - auch nicht zum Testen;
  • Ignorieren und löschen Sie bekannte Betrugs-E-Mails bereits in der Vorschau;
  • Deaktivieren Sie externe Inhalte in Ihrem E-Mail. Diese Funktion ist in den meisten E-Mail-Programmen bereits deaktiviert.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 29.08.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_34.html