WoW Phishing Mails: Wie erkennt man eigentlich Scam Mails?

Fast täglich liest man in einschlägigen WoW-Foren oder Blogs von frustrierten Usern, die wieder einem Hackangriff zum Opfer gefallen sind. Account leer geräumt, Charakter nackig gemacht, stehen viele Spieler vor dem Scherbenhaufen ihres virtuellen Alter-Egos. Da mittlerweile selbst Accounthacks trotz Blizzard Authenticator aufgetreten sind, bin ich der Meinung, man kann das Thema Accountsicherheit nicht oft genug thematisieren.

Neben Viren, Trojanern oder Keyloggern, die Eure Daten direkt vom heimischen PC ausspähen, gibt es aber noch eine zweite Variante, bei der selbst der beste Virenscanner der Welt nichts nützt: Die Rede ist von sogenannten Phishing-Mails.

In Zeiten des gläsernen Menschen ist es für Meta-Crawler ein leichtes, eure E-Mail Adresse in den weiten des Internets zu finden. Sind genügend Adressen gefunden worden, werden Massenmails, die gern auch als Scam-Mails bezeichnet werden, an alle gefundenen User verschickt. Ob sich dabei der Absender als Bankinstitut, DHL oder Hersteller eines MMOs ausgibt, ist dabei grundlegend egal, die Scam-Mail dient dabei nur einem Zweck: An Eure Zugangsdaten zu gelangen, um dann im Anschluss ein größt mögliches Maß an Schaden anzurichten. Dabei treffen die Versender der Phisihing-Mails oftmals nicht ins Schwarze: Denn nicht selten bekommt man solche Mails von Banken oder Unternehmen, wo man nicht einmal Kunde ist. Hier fällt es natürlich sehr leicht, die entsprechende Mail als Fake zu erkennen und direkt zu entsorgen.

Etwas kritischer wird es allerdings, wenn die Absender mal einen Glückstreffer gelandet haben und man tatsächlich Kunde des vorgetäuschten Anbieters ist. Hier kommt man schnell ins Grübeln, ob die Mail nun tatsächlich von Relevanz ist, oder ob es sich doch evtl. um einen Trickbetrüger handelt, der nur an eure Daten gelangen will. Hier stellt sich dem Laien nun die Frage: „Wie erkenne ich eigentlich eine Phishing Mail“? Der Frage, „Ist das eine Phishing Mail?“, will ich hier nun auf den Grund gehen, inkl. ein paar Tipps, wie ihr eine Mail als Phishing Mail relativ leicht enttarnen könnt.

Erst kürzlich erreichte mich folgende Mail:

Da ich noch nie versucht habe meinen WoW-Account zu verkaufen, war das eigentliche Thema schon recht unrelevant. Aber nun gut, ich habe mich auf die Mail eingelassen und nicht sofort gelöscht. Damit mein WoW-Account angeblich von Blizzard nicht deaktiviert wird, brauchen sie jetzt alle Persönlichen und WoW-relevanten Zugangsdaten. Ah ja. Merkt Euch gleich die erste und wichtigste Regel: Versendet NIEMALS Eure Zugangsdaten, egal ob bei WoW, oder Banken, oder sonstwo, in einer E-Mail. Danach wird Euch ein seriöser Anbieter niemals fragen. Selbst im persönlichen Gespräch werden meist nur 3 Stellen etwaiger Pins abgefragt, aber niemals alle Stellen eines Passwortes. Wenn von euch so etwas verlang wird, solltet ihr sofort hellhöhrig werden. Unter Anwendung dieser Regel, ist diese Mail recht schnell als Fake enttarnt und in den Papierkorb gewandert. Allerdings fällt diese Phishing-Mail in die Kategorie „Schlechter Fake“, da es bei weitem bessere Phishing Mails gibt, die nicht so platt versuchen, an eure Zugangsdaten zu gelangen.

Betrachten wir ein mal Phishing Mail Nummer 2:

Diese Mail ist schon deutlich besser gemacht als Variante 1. Hier werde ich nur freundlich darauf hingewiesen, das ich mein Abo-Interval in der Accountverwaltung verändert habe und, sofern ich es nicht gewesen sein sollte, doch einmal überprüfen sollte, ob alles in Ordnung sei. WoW-Spieler, die keinen Authenticator benutzen, könnten sich nun die Frage stellen, ob sie an dieser Stelle gehackt wurden und sich gerade jemand mit ihren Daten in der Accountverwaltung eingeloggt hat und die Daten verändert. Doch Vorsicht, an dieser Stelle hat noch kein Hack stattgefunden, allerdings, wenn ihr jetzt zu schnell auf die Links in der Mail klickt, könnte der Hack nicht mehr weit entfernt sein.

Achtung: Leider sehen die Mails von Blizzard sehr ähnlich aus und dummerweise platziert selbst Blizzard in seinen Mails direkte Links zu relevanten Einloggpunkten ins BattleNet. Die Aussage „Blizzard benutzt keine Links in seinen E-Mails“ ist daher leider nicht richtig. Ich wäre froh, wenn sie es nicht täten, dann könnte man solche Mails sehr leicht als Scam erkennen.

Doch wie erkennt man nun, ob es sich um eine echte Mail von Blizzard handelt, oder aber um einen Phising-Versuch? Grundsätzlich kann man im Internet sogenannte Textlinks maskieren, was bedeutet, das http://www.google.de, nicht immer auf die entsprechende Seite verlinken muss. Wie hier im Beispiel, kann die Seite auch ganz woanders hin verlinken: http://www.google.de. Man sollte sich also nicht immer auf das verlassen, was man geschrieben sieht und hinter die Kulissen, also auf den eigentlichen Hyperlink, schauen:

Wichtig: Ich habe die Adresse nicht ausgeschwärzt: Bitte gebt die angezeigte Adresse NICHT in Eurem Browser ein, ruft die Seite NICHT auf! Das Ganze soll nur der Demonstration dienen!

Wie man recht deutlich erkennen kann, weicht die angezeigte Adresse und der tatsächliche Ort, wo der Hyperlink hin verweist, voneinander ab. Eine Tatsache, die alle Alarmglocken leuten lassen sollte. Ebenso solltet ihr sehr vorsichtig mit sogenannten URL/Link Shortenern wie z.B. www.bit.ly sein, da man hier die eigentliche Zielseite gar nicht erkennen kann. Bei unwichtige Seitenaufrufe kann man auf solche Links klicken, geht es aber um sicherheitsrelevanten Daten, etwa Bank-Login oder WoW-Zugangsdaten, gebt die Adresse am besten von Hand in die Adresszeile eures Browsers (nicht einer Suchmaschine!) ein. Selbst vom Gebrauch von Favoriten/Bookmarks rate ich bei sicherheitsrelevanten Seiten dringend ab, da es mittlerweile Viren gibt, die Eure Bookmarks verändern und euch somit auf andere Seiten umleiten, ohne dass ihr großartig Verdacht schöpft. Die Zielseiten dieser Links sehen den Originalen zum verwechseln ähnlich. Zwar reagieren IE, Firefox und Co. mittlerweile recht zügig auf gefakte Seiten und lassen den integrierten Phishing Schutz anspringen, der ein Laden der Webseite verhindert, allerdings funktioniert dies nur, wenn bereits genügend Nutzer die Seite als „unsicher“ gemeldet haben. Solltet Ihr die ersten auf der Seite sein, schützt euch euer Browser also nur wenig.

Aber zurück zu den E-Mails: Ein weiterer Weg Phishing-Mails zu enttarnen, ist sich die Mails einmal im Details anzusehen. Die meisten E-Mail Programme zeigen meist nur einen kurzen Auszug der Kopfinformationen, dem sogenannten Mail-Header, an. In diesem Header wird der gesamte Mailverkehr protokolliert. Dummerweiste wird in Outlook und Co. nur die Information „Von“ und „An“ sowie der „Betreff“ angezeigt. Leider gibt es schon bei diesen Informationen ein Sicherheitsrisiko: Denn die Information „Von“ sagt keinesfalls aus, von wem die Mail nun tatsächlich versendet wurde, lediglich welche „Antwortadresse“ der Versender als Information hinterlegt hat. So kann ich von meinem Mailkonto einfach Mails versenden und als „Antwortadresse“ den Namen von Mem eintragen und jeder würde mich auf den ersten Blick für Mem halten. Um hier Licht ins Dunkel zu bringen, müsst ihr euch die Kopfzeilen-, oder auch Header-Informationen der Mail aufrufen (Bei Outlook: Rechsklick auf die ungeöffnete Nachricht -> Nachrichtenoptionen):

Hier seht ihr nun den gesamten Weg der Mail und unter anderem auch, von welcher Mailadresse der Spaß verschickt wurde. Wie ihr hier unschwer erkennen könnt, kam die Mail gar nicht von Blizzard, sondern von irgend einer Hotmail Adresse, die sich nur als Blizzard ausgeben wollte. Somit ist der Fall klar: Es handelt sich um keine offizielle Mail, sondern nur um einen Phishing-Versuch.

Ich hoffe ich konnte Euch ein wenig weiterhelfen, damit ihr demnächst schneller und auf wenigen Blicken erkennen könnt, ob es sich um eine echte Mail, oder einen Phishing-Versuch, handelt. Hoffen wir, dass der Mailverkehr dadurch wieder etwas sicherer wird, bzw. weniger Spieler auf diese Betrügerein reinfallen und somit die WoW-Accountsicherheit wieder gewährleistet wird.

Marcus Lottermoser
Streamer/YouTuber/Redakteur at Myself
Jahrgang '79, seit Ende der '80er nerdiger Gamer. Absolvierte die Ausbildung zum Editor bei der Computec Media AG (PC Games) in Fürth. Kommunikationsdesigner durch die School of Life, Streamer und YouTuber aus Leidenschaft! Google+