Achtung, Betrüger: Das nationale Zentrum für Cybersicherheit (NCSC) berichtet von gefährlichen Mails, die zurzeit die Runde machen. «In der vergangenen Woche wurden dem NCSC Betrugsmails gemeldet, bei denen eine Methode zum Ausspionieren des Nutzerverhaltens zum Einsatz kommt», schreibt das Bundesamt.
Gleich in mehreren Fällen wurden gefälschte Drohmails von Behörden verschickt. Bei den sogenannten Fake-Extortion-Mails wird vorgegeben, dass man ein massives strafrechtliches Fehlverhalten begangen habe und die Anklage nur gegen eine Geldzahlung fallen gelassen werde. Eine Masche, die so bereits bekannt ist. Mit den Mails wurde jetzt aber zusätzlich eine Aufforderung zur Lesebestätigung verschickt, erklärt das NCSC. Der Empfänger sendet damit eine Meldung an den Absender, sobald die Nachricht geöffnet wurde.
Erst Triage, dann Angriff
Das nutzen die Cyberkriminellen aus: «Angreifer machen auf diese Weise eine Triage und sehen, bei welchen Empfängern der Angriff ins Leere läuft und bei welchen Empfängern allenfalls eine Chance besteht, dass sie auf den Angriff hereinfallen», so das NCSC.
Die Funktion mit der Lesebestätigung, die unter anderem in den Mailprogrammen wie Outlook oder Thunderbird existieren, werden von Betrüger aktiv ausgenutzt. «Das zeigen Erfahrungsberichte von Personen, die ein solches Drohmail geöffnet und sich bei uns gemeldet haben», heisst es vom Bund. Denn ist die Lesebestätigung aktiv, wird man mit weiteren Mails bedrängt, um den Druck zu erhöhen und einen so zur Zahlung zu drängen. Dabei nehmen die Absender Bezug auf bisher verschickte Mails.
So schützt man sich
In vielen Fällen sei die Deaktivierung der Lesebestätigung sicherlich sinnvoll, so das NCSC. Zumindest sollte man einstellen, dass jedes Mal nachgefragt wird, ob eine Lesebestätigung verschickt werden soll. Bei Outlook ist die Funktion unter Datei > Optionen > E-Mail > Verlauf zu finden. Bei Thunderbird kann über die Einstellungen > Empfangsbestätigung ebenfalls definiert werden, wie das Programm mit solchen Aufforderungen umgehen soll. Eine weitere Möglichkeit ist es, das Mail zu löschen, bevor es überhaupt geöffnet wird.
Weitere Tricks der Betrüger
Cyberkriminelle nutzen auch weitere Methoden, um ihre Mail-Listen zu führen. «So werden etwa sichtbare oder unsichtbare Bilder in Mails eingebunden, die beim Öffnen von einem Server geladen werden», so das NCSC. Mit der Methode ist ein Tracking von Nutzerinnen und Nutzer möglich, da die Server den Angreifern gehören. «Sie erfahren in diesem Fall nicht nur, ob das E-Mail geöffnet wurde, sondern auch, welcher Browser oder welches Betriebssystem genutzt wird», so der Bund. Mit diesen Angaben können dann weitere, personalisierte Angriffe gestartet werden.
Das NCSC empfiehlt darum, externe Inhalte in E-Mails zu blockieren. Die Funktion sei aber in den meisten E-Mail-Programmen bereits deaktiviert, heisst es. Zudem solle man in Phishing- und Betrugsmails niemals auf Links klicken – auch nicht zum Testen.