Spam- und Phishing-Emails erkennen

Seit Jahren greift es um sich: es werden immer mehr Spammails aber auch sogenannte Phishing-Emails versendet.

Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben.

Aus dem Wikipedia-Artikel

Die Emails haben dabei ein professionelles Aussehen, beinhalten bspw. HTML-Elemente (farbige Flächen, moderne Formatierung) und geben vor, von einem Anbieter wie bspw. einer Bank oder einem Logistikdienstleister zu sein. Aktuell gehen bspw. regelmäßig gefälschte Emails ein von (angeblich):

  • Sparkasse
  • Volksbank / Raiffeisenbank
  • Postbank
  • Deutsche Bank
  • DHL
  • UPS

Welchen Zweck verfolgen die Absender der Emails?

Je nach Ausführung der Email kann der Absender verschiedene Absichten haben. Hier ein paar konkrete Beispiele, wie ein Angreifer vorgehen könnte:

  • Betrugsversuch via Konto-Daten: eine scheinbar von Ihrer Bank stammende Email beinhaltet im Emailtext einen Link, auf den Sie klicken sollen, bspw. um Ihr Konto wieder verwenden zu können. Dieser Link führt Sie aber auf eine gefälschte Homepage, die der echten Bank-Homepage ähnlich sieht und in der Sie Ihre Kontodaten und eine TAN-Nummer eingeben sollen. Sollten Sie die Fälschung nicht bemerken, so könnte der Angreifer diese Daten verwenden, um sich an Ihrem echten Konto anzumelden und Geld von Ihrem Konto zu überweisen.
  • Ausnutzen von Sicherheitslücken: eine angebliche Email von einem Dienstleister (bspw. Post, DHL o.ä.) benachrichtigt Sie über die angebliche Lieferung eines Paketes und nutzt die Neugier des Empfängers aus. Links in der Email führen auf eine manipulierte Website, die Sicherheitslücken des Browsers oder des Emailprogramms ausnutzen. Der Angreifer kann sich so ggf. Zugang zu Ihrem Computer verschaffen. Oder es werden manipulierte Dateianhänge mit in die Email gepackt, bspw. PDF-Dokumente oder Word-Dokumente. Manipulierte Dokumente können ebenfalls dazu dienen, Sicherheitslücken auszunutzen.
  • Zugriff auf Social Media-Anmeldedaten: in den sozialen Medien werden oft manipulierte Nachrichten versandt (oft scheinbar von Freunden, Bekannten). Diese enthalten einen Link auf eine manipulierte Homepage, die bspw. der Facebook-Seite sehr ähnlich sieht. Gibt man hier seine Zugangsdaten ein, so kann sich der Angreifer in das eigene Social Media-Konto einloggen und hier weitere Nachrichten versenden. Der Zweck ist die Verbreitung von Nachrichten, bspw. zu Spamzwecken (Werbung).
  • Erpressung über sog. Ransomware-Angriffe: ist eine Sicherheitslücke ausgenutzt worden (bspw. Browser, Mailprogramm, Betriebssystem), so kann es sein, dass eine Schadsoftware auf Ihren Rechner geschleust wird, die die Ihre Daten verschlüsselt und Sie zur Zahlung von Lösegeld auffordert. Diese Angriffe werden Ransomware-Angriffe genannt. Die Erpresser fordern einen Betrag (bspw. 200-300 €), die in Form von Bitcoin gezahlt werden sollen. Im Gegensatz zu Banküberweisungen wäre eine Zahlung so nicht nachvollziehbar und der Angreifer könnte nicht nachverfolgt werden.

Phishing-Emails erkennen

Doch woran kann ich eine Phishing-Email erkennen? Beziehungsweise noch interessante ist die Frage: welche Daten einer Email kann ein Angreifer fälschen und was nicht?

Fast sämtliche Daten einer Email können gefälscht werden, außer eines: die IP-Adresse des absendenden Servers, von der die Email stammt.

Der Absender (Bezeichnung des Absenders) und die Absender-Emailadresse können komplett gefälscht sein. D.h. man kann nicht darauf vertrauen, dass eine Email wirklich von der genannten Emailadresse bzw. von dem genannten Emailserver stammt. Oft wird weiterhin die Email an mehrere Empfänger gleichzeitig gesendet, dabei wird die BCc-Funktion verwendet. Die Adressaten sind nicht für andere Empfänger sichtbar.

Ein paar Tipps, um Phishing-Emails zu erkennen

  • Lesen Sie den geschriebenen Text aufmerksam! Viele der Betrugsemails enthalten Rechtschreibfehler, dazu seltsame Formulierungen, die kein offizieller Absender (bspw. Mitarbeiter einer Bank) so in einer Email schreiben würde.
  • Oft wird in einer Betrugs-Email etwas verlangt, was ein seriöser Dienstleister (Bank, Paketdienst) nie verlangen würde, bspw. die Eingabe einer TAN in einer Maske oder die Herausgabe persönlicher Daten. Das sollte Sie stutzig machen.
  • Markiert Ihr Emailprogramm die eingehende Email als Spamverdacht, so könnte das ggf. schon ein Hinweis auf eine Betrugs- oder Phishing-Email sein. Vorsicht ist geboten.
  • Sehen Sie sich die absendende Emailadresse einmal an. Auch, wenn sie gefälscht sein kann, gibt sie oft schon einen Hinweis, dass es nicht von dem angeblichen Anbieter stammt. Oft werden hier schon kuriose Emailadressen eingesetzt.
  • Bewegen Sie den Mauszeiger über vorhandene Links (NICHT darauf klicken, nur die Maus darüber bewegen). Es öffnet sich ein Tooltip (Fensterchen), in dem der dahinter liegende Link angezeigt wird. Wird hier eine seltsame und abweichende Adresse angezeigt, so ist dies ein Hinweis auf eine Phishing-Email.
  • Schauen Sie in die sogenannten Header-Daten der Email. Hier finden Sie Informationen zur technischen Zustellung, u.a. finden Sie hier die absendende IP-Adresse und – wenn sie aufgelöst werden kann, die aufgelöste Domainbezeichnung. Dieser gibt oft schon einen Hinweis auf eingesetzte Server, die vom Namen her nicht zum angeblichen Sender passen.

Header-Daten einer Email auslesen

Wie die Header-Daten einer Email angezeigt werden können, hängt von Ihrem System und verwendeten Emailprogramm ab.

Outlook (Windows)

  1. Doppelklicken Sie auf eine E-Mail-Nachricht, um sie außerhalb des Lesebereichs zu öffnen.
  2. Klicken Sie auf Datei> Eigenschaften.
  3. Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt.
    Tipp:Sie können die Informationen in diesem Feld hervorheben, STRG+C drücken, um sie zu kopieren, und sie in Editor oder Word einfügen, um die gesamte Kopfzeile gleichzeitig zu sehen.
Microsoft Support-Homepage

Apple Mail (Mac Computer)

  1. Markieren Sie eine Email in der Email-Liste und drücken Sie die Tastenkombination Shift-Cmd-H (wie Header). In der Emailvorschau öffnet sich der Headerbereich und ist einsehbar.

Zurückverfolgen einer IP-Adresse über WHOIS

Sie sind sich nicht sicher, welcher Server hinter der im Email-Header aufgeführten IP-Adresse steckt? Checken Sie die IP-Adresse über eine sog. WHOIS-Auflösung.

WHOIS-Abfrage (Domaintools)

Eine WHOIS-Abfrage der Phishing-Email führt zu einem Server in den USA. Dass die Postbank aus den USA senden würde, würde uns stutzig machen.

Hinweis: oft werden Spam- / Betrugs- und Phishing-Emails von gehackten Rechnern (bspw. Computer im Heimnetzwerk) oder von gehackten Webservern im Internet versendet. Soll heißen: nicht immer steckt der böse Angreifer direkt hinter der IP-Adresse. Aber man kann dem Betreiber auf der anderen Seite gern einen Hinweis geben. Dazu gibt es die sogenannte Abuse-Adresse, die für Meldungen von Missbrauch gedacht ist. Diese Emailadresse finden Sie fast immer bei der WHOIS-Abfrage unterhalb. Schreiben Sie den Administrator auf der anderen Seite gern an, wenn Betrugsversuche von der IP-Adresse ausgehen.

Weitere Sicherheitsmaßnahmen und Tipps

  • Halten Sie Ihren Computer auf dem aktuellen Stand, d.h. spielen Sie aktuelle Sicherheitsupdates (Patches) ein und halten Sie verwendete Software (Office, Anwendungen) ebenfalls auf dem neuesten Stand.
  • Verwenden Sie eine Firewall-Anwendung. Bei Windows 10 und 11 ist Windows Defender mit an Bord. Schalten Sie diese Windows-interne Firewall ein, in dem Sie unter Datenschutz und Sicherheit die Option Windows Security > Firewall und Netzwerkschutz aufrufen.
  • Verwenden Sie eine Antivirus-Software, die mögliche Schadsoftware erkennen kann. Viele Antivirus-Anwendungen können auch den Emaileingang überwachen und schützen so vor einer manipulierten Email (bspw. durch Blocken manipulierter PDF-Anhänge).
  • Haben Sie Zweifel an der Herkunft, sind sich aber nicht sicher? Sprechen Sie Ihren Ansprechpartner (bspw. Mitarbeiter Bank) direkt an und fragen Sie, ob die Email wirklich von ihm stammt?

Galerie Ansicht Phishing-Emails

Hier ein Beispiel einer Phishing-Email, die angeblich von der Postbank kommen sollte (die Nachricht stammt selbstverständlich NICHT von der Postbank!).

Weiterführende Links zum Thema Phishing-Emails:

Spam, Phishing & Co – So erkennen Sie gefälschte und schadhafte E-Mails (BSI Bundesamt für Sicherheit in der Informationstechnik)

Kundeninformationen der Sparkasse zum Thema Phishing

Belta.de - Einen Wordpress-Blog absichern

Einen WordPress-Blog absichern – XML-RPC-Schnittstelle abschalten

Die sogenannten XML-RPC-Schnittstelle steht für „Extended Markup Language Remote Procedure Call“ und bietet die Möglichkeit einer automatisierten Schnittstelle zwischen einem anderen System und Ihrem Blog. Beispielsweise lassen sich so B2B-Schnittstellen zu Dienstleistern realisieren, um bspw. neue Bestellungen (Einkauf) für Ihren Onlineshop automatisch abzusetzen. Viele Standardinstallationen von WordPress benötigen diese Schnittstelle gar nicht. Aber: sie wird oft als Angriffspunkt verwendet. Wir sehen regelmäßig in unseren Logfiles (access.log bzw. secureaccess.log) automatisierte versuchte Logins über diese Schnittstelle. Das Fatale daran: selbst, wenn man den Standardlogin per System überwacht und bspw. nach 3 Anmeldeversuchen eine Zeitverzögerung einbaut, so steht die XML-RPC-Schnittstelle meist ohne diese Schutzmechanismen im Internet und es gibt immer wieder sog. Brut Force-Angriffe.

Schalten Sie die XMLRPC-Schnittstelle ab, falls Sie sie nicht benötigen. Das erhöht die Sicherheit Ihrer WordPress-Website und verhindert versuchte Logins mittels Brut Force-Technik. Die XMLRPC-Schnittstelle können Sie bspw. mit einem Plugin abschalten.

Um in einer WordPress-CMS-Website die XMLRPC-Schnittstelle abzuschalten, können Sie folgendermaßen vorgehen:

  • Melden Sie sich an Ihrer WordPress-Installation an und navigieren Sie zum Dashboard.
  • Unter dem Menüpunkt Plugins finden Sie den Punkt „Installieren“.
  • Geben Sie im Suchfenster den Begriff „XML RPC“ ein und wählen Sie eines der Plugins, die die Schnittstelle abschalten. Bspw. haben wir das Plugin „Disable XML RPC“ von Philip Erb ausgewählt.
  • Installieren Sie das Plugin und aktivieren Sie es.
  • Die XML-RPC-Schnittstelle ist nun nicht mehr aktiv und kann nicht mehr als Einbruchslücke per versuchtem Hacker-Login missbraucht werden.
Belta.de - Einen Wordpress-Blog absichern

Einen WordPress-Blog absichern – Login-Seite verstecken

Viele automatisierte Hackinganfragen zielen auf die Standard-Login-Seite des WordPress-CMS-Systems ab. Konkret heißt das: ein Script ruft Ihre Domain auf (bspw. www.belta.de) und hängt daran die URL-Vervollständigung wp-login.php, d.h. in diesem Fall würde das Script die Seite www.belta.de/wp-login.php aufrufen und per Brut Force-Technik aus einem Lexikon bestimmte Benutzernamen und Passwörter zufällig einsetzen. Wenn Sie das selbst in einem Logfile nachvollziehen möchten, so ist der Aufruf leicht zu sehen, der HTML-Antwortcode des Servers ist in der Regel 200 (Aufruf ok und korrekt ausgeführt), der Login funktioniert selbstverständlich nur, wenn der Angreifer korrekten Benutzernamen und Kennwort eingibt.

Brut Force bedeutet in diesem Fall, dass ein Angreifer verschiedene Kombinationen von Benutzernamen und Kennwörtern eingibt. Das passiert – wenn es nicht eingeschränkt wird – dauernd und belastet neben der eigentlichen Gefahr auch die Perfomance des Servers.

Um diese Standardangriffe zu vermeiden, kann man einfach die URL der Login-Seite ändern. Das kann folgendermaßen ganz einfach passieren:

  • Rufen Sie das Dashboard Ihrer WordPress-CMS-Seite auf.
  • Unter dem Menüpunkt Plugins rufen Sie den Punkt „Installieren“ auf.
  • Suchen Sie das Plugin WPS Hide Login von WPServeur, NicolasKulka, wpformation
  • Installieren Sie das Plugin
  • Konfigurieren Sie unter Einstellungen – „WPS Hide Login“ die neue Login-URL, bspw. setzen Sie dort „anmelden“ als neue URL. Somit wäre hier die Beispiel-URL: www.belta.de/anmelden
Belta.de - Einen Wordpress-Blog absichern

Backup – Sicherung einer WordPress-Installation

Die Sicherung der bestehenden WordPress-Website kann auf verschiedenen Wegen erfolgen. Doch bevor wir die verschiedenen Möglichkeiten anschauen, eines vorweg: Sie sind gut beraten, ein regelmäßiges Backup (eine Sicherung) der Daten zu haben, um bei unvorgesehenen Vorfällen reagieren zu können und eine ältere Sicherung zurückzuspielen und somit Fehler oder eine gecrashte WordPress-Installation wiederherzustellen.

Verschiedene Backupmöglichkeiten

  • Sicherung über die Backup-Funktion Ihres Providers (Beispiel: im Admin-Panel bei Strato finden Sie das sogennannte BackupControl)
  • Sicherung der Dateien und der Datenbank

Die 2. Variante möchten wir uns hier anschauen. Dafür benötigen wir entweder vorher den Zugang zum Admin-Panel des Providers oder einen FTP-Zugang für den Zugriff auf die Dateien des CMS-Systems und einen Datenbankzugang für den Zugriff auf die Datenbank. Für letzteres wird oft PHPMyAdmin verwendet, eine webbasierte Oberfläche zur Datenbankpflege.

Sicherung Ihres WordPress-CMS-Systems mithilfe von FTP und PHPMyAdmin

Für eine vollständige Sicherung eines WordPress-CMS-Systems werden zum einen die Dateien aus dem WordPress-Ordner sowie die Datenbank mit den CMS-Inhalten benötigt.

Verwenden Sie ein FTP-Programm für das Herunterladen der CMS-Dateien. Bspw. empfehlen wir FileZilla, welches hier bei FileZilla Project kostenlos zu laden ist.

Gehen Sie folgendermaßen vor, um Ihre CMS-Installation zu sichern:

  • Verbinden Sie sich per FTP-Programm mit Ihrem Webserver. Die FTP-Zugangsdaten können Sie dem Admin-Panel Ihres Providers entnehmen.
  • Navigieren Sie im dem FTP-Programm zum WordPress-Ordner (bspw. wordpress oder wp genannt, kann aber auch ein ganz freier Name sein. Im Zweifelsfalle navigieren Sie in den zweifelhaften Ordner und erkennen dort die typischen Unterordner wp-content, wp-admin, usw.)
  • Laden Sie diesen Ordner dann in einen gewünschten Pfad auf Ihren Rechner herunter.
  • Verwenden Sie PHPMyAdmin (Zugangsdaten finden Sie in der Regel im Admin-Panel Ihres Providers).
  • In PHPMyAdmin klicken Sie oben in der Mitte auf den Button Exportieren (Achtung, NICHT vorher auf eine Tabelle klicken, sonst lädt das System nur diese Tabelle!)
  • Beim Export wählen Sie die Standardauswahl SQL-Export und drücken auf OK.
  • Sie erhalten einen Download im GZIP-Format (gepacktes Archiv). Darin befindet sich ein SQL-Script, welches für eine Wiederherstellung von a) Struktur (Tabellen) und b) Daten (Beiträge, usw.) genutzt werden kann.
  • Geben Sie Ihrem Ordner mit den gesicherten Dateien und der Datenbank idealerweise einen geeigneten Namen, der bspw. den Stand der Sicherung verrät. Beispiel für den Ordnernamen: 2022_02_27_CMS_Fullbackup
Belta.de - Einen Wordpress-Blog absichern

Einen WordPress-Blog absichern – PHP-Version, CMS und Module

In aktueller Zeit ist es wichtig, seine bestehende Website bzw. das WordPress-System mit geeigneten Mitteln abzusichern. Was viele, die bspw. ein Hostingpaket ohne Logfile-Kontrolle gemietet haben, gar nicht wissen: minütlich gibt es versuchte Angriffe von Hackern, die zum Ziel haben, sich unberechtigt an der Website anzumelden oder Malware (Schadsoftware) zu installieren.

Dabei werden mögliche Schwachpunkte ausgenutzt, die sich in die folgenden Kategorien einsortieren lassen:

  • PHP (Scriptsprache, mit der WordPress realisiert ist) und veraltete PHP-Versionen
  • WordPress CMS
  • Plugins (Module)
  • Themes (Themenvorlage für die Website, üblicherweise 1 verwendetes Theme je WordPress-Installation
  • Benutzerkonten (Anmelde-Accounts mit Benutzernamen und Kennwort)

PHP und PHP-Versionen

Die Scriptsprache PHP bildet zusammen mit dem Datenbanksystem mySQL die Grundlage für die Darstellung des CMS-Systems. Die Vorlagen für die Hauptseite, Kopf sowie Footer und Systemprozeduren sind allesamt in PHP programmiert. PHP wird regelmäßig mit Updates versehen, u.a. mit Sicherheitsupdates. Eine neuere Version ersetzt ältere Versionen.

Typische PHP-Versionen:

  • PHP-Version 4.0 – ab dem Jahr 2000
  • PHP-Version 5.6 – zwischen 2014 – 2019
  • PHP-Version 7.0 – ab 2015
  • PHP-Version 7.4 – zwischen 2019 – 2021
  • PHP-Version 8.0 – ab November 2020 bis Januar 2022

Ideal wäre, jeweils zeitnah die aktuelle Version zu verwenden. Auch die Provider (Strato, Alfahosting, 1&1) halten ihre Kunden dazu an, die PHP-Version jeweils selbst über das Admin-Panel zu erhöhen. Wenn Sie das nicht tun, kann es gegen eine Gebühr eine Ausnahmeregelung geben. Die Erhöhung der PHP-Version muss aber überprüft werden, um Fehler zu vermeiden. Das WordPress-CMS selbst zeigt in verschiedenen Versionsständen eine Kompatibilität mit bestimmten PHP-Versionen. Ebenfalls sind Plugins und Themes in verschiedenen Version mit bestimmten PHP-Versionen kompatibel. In der Praxis prüft man vorher das CMS-System, die Plugins, Themes auf Kompatibilität und – falls kompatibel – testet dann die Erhöhung der PHP-Version in einer Testumgebung oder (falls keine Testumgebung) in der Produktion. Das geschieht dann idealerweise in der Nebenzeit (Wochenende, Nacht).

Halten Sie die PHP-Version Ihrer Website möglichst aktuell. Dabei sollten Sie vor einer Erhöhung der Version das WordPress-CMS sowie Module (Plugins, Themes) testen. Ideal ist eine Testumgebung, eine parallele Installation der Produktionsumgebung. Dort erhöhen Sie dann über das Admin-Panel Ihres Providers die PHP-Version. Testen Sie die Seite! Funktioniert alles wie erwartet, so können Sie die PHP-Version der Produktivumgebung erhöhen. Regelmäßige Backups sollten immer eingeplant werden und so können wir bei einem unerwarteten Verhalten einen älteren Stand der Website zurückspielen.

WordPress CMS

Das WordPress-System selbst ist möglichst aktuell zu halten. Hier gibt es ähnlich wie bei der PHP-Version ggf. Abhängigkeiten der Module (Plugins, Themes) und es muss getestet werden.

Typische WordPress-Versionen:

  • WordPress CMS Version 1.0 – 2004
  • WordPress CMS Version 3.0 – ab 2010
  • WordPress CMS Version 3.7 – ab 2013
  • WordPress CMS Version 4.0 – ab 2014
  • WordPress CMS Version 5.0 – ab 2018
  • WordPress CMS Version 5.6 – ab 2020
  • WordPress CMS Version 5.8 – Juli 2021
  • WordPress CMS Version 5.9 – Januar 2022

Halten Sie die Version Ihres WordPress CMS immer auf dem neuesten Stand. WordPress wird somit mit Sicherheitsupdates versehen, evtl. vorher vorhandene Sicherheitslücken werden gestopft, Angriffe von Hackern erschwert. Prüfen Sie vorab die Verträglichkeit des WordPress-Upgrades mit den vorhandenen Plugins und dem vewendeten Theme. Ggf. ist hier ebenfalls der Test über eine Testumgebung sinnvoll. Bei unerwarteten Reaktionen lässt sich aus vorher gemachten Backups des CMS-Systems (Dateien) sowie der Datenbank (MySQL) die Website wieder zurücksetzen.

Plugins und Themes

Plugins und Themes stammen von verschiedenen Herstellern. Diese haben auf ihrer Website immer Infos zu den Versionen und zu Änderungen bei neueren Versionen. Gerade Lücken und Sicherheitslücken sollten zeitnah behoben werden (was leider nicht immer bei allen Herstellern der Fall ist) und so kann man durch eine gewisse Sisyphusarbeit herausbekommen, welche Lücken in welchem Modul besonders gefährlich sind und diese Module jeweils schnell entweder mit Updates versehen oder (wenn Hersteller keine Updates anbietet) das Modul entfernen oder zeitweise mit einer Alternative ersetzen.

Halten Sie möglichst alle Plugins und Themes aktuell. Sollte es keine Updates geben und es bestehen Sicherheitslücken, so schauen Sie sich ggf. nach einem alternativen Modul um. Das alte sicherheitsanfällige Modul wird dann deaktiviert und deinstalliert.