Warum Phishing-Angreifer nach unzähligen Leerzeilen am Ende der E-Mail zusätzliche Texte und Links einfügen

Wenn Cyberkriminelle Phishing-E-Mails versenden, verwenden sie immer ausgeklügeltere Taktiken, um die Empfänger und Abwehrmechanismen zu täuschen. Eine Strategie, die zunehmend von Phishern verwendet wird, ist das Einfügen von unzähligen Leerzeilen und zusätzlichen Textinhalten am Ende der E-Mail. Die Inhalte stammen meist aus vertrauenswürdigen Quellen wie Wikipedia oder von Websites bekannter Marken. Sie sollen die E-Mail seriöser und glaubwürdiger erscheinen lassen und die Empfänger, die Firewalls und Virenscanner davon abhalten, die Gefahr zu erkennen. Eine weitere Taktik besteht darin, Links zu bekannten Unternehmen oder gefälschte „Abmeldelinks“ zu verwenden. Doch warum greifen Phisher auf solche Taktiken zurück, und welche Ziele verfolgen sie damit?

Der Grund, warum Phishing-E-Mails oft Links und Texte (wie Links zu legitimen Unternehmen, Wikipedia-Texte oder gefälschte „Abmeldelinks“) am Ende der Nachricht platzieren, die oft erst nach dem Scrollen entlang mehreren Leerzeilen sichtbar sind, ist eine strategische Entscheidung.

Die Verwendung von Leerzeilen und das Platzieren von Links oder Disclaimer am Ende von Phishing-E-Mails ist eine bewusste Taktik, um beispielsweise die E-Mail legitim erscheinen zu lassen oder Spam-Filter zu umgehen. Es hilft aber auch, den Empfänger abzulenken oder in die Irre zu führen, sodass er mit der E-Mail interagiert, ohne Verdacht zu schöpfen, während der schadhafte Inhalt weniger sichtbar und schwerer zu bemerken ist.

1. Ablenkung und Täuschung:

Indem die vermeintlich legitimen Links oder Texte am Ende der E-Mail, nach einigen Leerzeilen, platziert werden, schafft der Angreifer ein Gefühl von Vertrautheit. Legitime Marketing- oder Geschäftsmails enthalten oft lange Fußzeilen mit rechtlichen Hinweisen, Abmeldelinks und Datenschutzerklärungen am Ende. Indem diese Struktur nachgeahmt wird, täuschen Phisher sowohl automatisierte Systeme als auch menschliche Empfänger und erwecken den Eindruck, dass die E-Mail eine reguläre Geschäftskommunikation ist.

In offiziellen E-Mails enthält die Fußzeile häufig rechtliche Informationen, AGB und Abmeldemöglichkeiten. Wenn ähnliche Inhalte am Ende einer Phishing-E-Mail platziert werden, entsteht der Eindruck, dass die E-Mail eine professionelle, legitime Kommunikation ist.

2. Umgehen von Spam-Filtern:

Viele Spam-Filter suchen nach bestimmten Merkmalen am Anfang der E-Mail, wie z. B. dringende Formulierungen, verdächtige Links oder ungewöhnliche Formatierungen. Indem der schadhafte Inhalt ans Ende der E-Mail verschoben und mehrere Leerzeilen hinzugefügt werden, können Phishing-E-Mails Filter umgehen, die die Anfangsinhalte der E-Mail analysieren. Diese Technik hilft, dass die E-Mail Spam- oder Phishing-Erkennungssysteme überwindet, die darauf ausgelegt sind, verdächtige Indikatoren früh zu erkennen.

3. Erhöhung der Glaubwürdig- und Vertrauenswürdigkeit:

Wikipedia zum Beispiel ist eine vertrauenswürdige Informationsquelle, und ihr Text wird oft mit Zuverlässigkeit assoziiert. Durch die Verwendung von Wikipedia-Inhalten versuchen Phisher, die E-Mail oder Nachricht seriöser erscheinen zu lassen. Dies kann besonders nützlich sein, wenn Phishing-E-Mails versuchen, offizielle Kommunikation oder Unternehmen zu imitieren. Der vertraute, vertrauenswürdige Charakter von Wikipedia-Inhalten macht den Phishing-Versuch überzeugender und senkt die Wachsamkeit des Empfängers.

4. Psychologische Manipulation:

Phisher verlassen sich auf menschliche Psychologie, um ihre Chancen auf Erfolg zu maximieren. Viele Benutzer scrollen nicht sofort bis zum Ende einer E-Mail, besonders wenn sie lang oder unbedeutend erscheint. Die Platzierung der Links am Ende, getrennt durch Leerzeilen, hilft oft, den Verdacht auf die E-Mail zu verringern. Da die Benutzer in der Regel mehr auf den Hauptinhalt der E-Mail achten, könnten sie die Fußzeile außer Acht lassen. Zudem enthalten Phishing-E-Mails häufig eine gewisse Dringlichkeit im Hauptteil (z. B. „Ihr Konto wurde kompromittiert“), sodass die Empfänger eher dazu geneigt sind, auf Links zu klicken oder zu handeln, bevor sie überhaupt nach unten zum Ende scrollen. Indem die Links und Texte ans Ende der E-Mail verschoben werden, verringern Phisher die Wahrscheinlichkeit, dass der Empfänger den zusätzlichen verdächtigen Inhalt sofort bemerkt. Dadurch entsteht ein falsches Gefühl der Sicherheit, da die weiteren schädlichen Teile der E-Mail nicht direkt ins Auge fallen.

5. Verschleierung des schädlichen Inhalts:

Phisher versuchen, ihre E-Mails so legitime Marketing-E-Mails wie möglich aussehen zu lassen. In echten E-Mails enthält der Marketinginhalt oft viel Leerraum, Disclaimer und rechtliche Informationen am Ende. Indem diese Struktur nachgeahmt wird, wird der schadhafte Inhalt der Phishing-E-Mail so platziert, dass er im „Verborgenen“ bleibt und als normaler Bestandteil der E-Mail erscheint. Diese Platzierung macht die schädlichen Links weniger auffällig und verringert die Wahrscheinlichkeit, dass der Empfänger sie hinterfragt.

6. Nachahmung legitimer Praktiken:

Viele legitime Marketing-E-Mails folgen einem Format, bei dem rechtliche Hinweise, Abmeldelinks und Datenschutzrichtlinien am Ende der Nachricht platziert werden. Phisher ahmen dieses Format nach, um die E-Mail professioneller erscheinen zu lassen. Indem der schadhafte Inhalt ans Ende verschoben wird, versuchen sie, den Eindruck zu erwecken, dass es sich um eine reguläre Geschäftskommunikation handelt. Der Empfänger könnte die E-Mail für eine echte, vertrauenswürdige Nachricht halten, weil die schädlichen Inhalte nicht sofort sichtbar sind.

7. Längere E-Mail für Authentizität:

Phishing-E-Mails verwenden diese „Scrollen bis zum Ende“-Technik auch, um die E-Mail künstlich zu verlängern. Längere E-Mails mit mehreren Abschnitten wirken oft wie eine legitime Kommunikation. Viele legitime Marketing-E-Mails sind lang und enthalten rechtliche Hinweise oder andere geschäftliche Informationen in der Fußzeile. Diese Taktik lässt die Phishing-E-Mail echter und wie eine reguläre Geschäftskommunikation wirken, während der schadhafte Inhalt in der langen Fußzeile verborgen bleibt.

Manchmal betten Phisher legitimen Wikipedia-Text ein und platzieren daraufhin schadhafte Links, in der Hoffnung, dass der Empfänger den Wikipedia-Inhalt bemerkt und die verdächtigen Links übersieht. Diese Taktik macht es für den Empfänger schwieriger, die tatsächliche Bedrohung zu erkennen und verhindert, dass er gefährliche Links entdeckt, die auf Phishing-Seiten oder Malware-Webseiten führen.

9. Tracking und Verifizierung:

Einige Phishing-Schemata verfolgen, wann Links geklickt werden oder wann Nutzer mit der E-Mail interagieren, und liefern den Angreifern weitere Daten. Zum Beispiel könnte das Klicken auf einen „Abmelden“-Link oder einen anderen Link bestätigen, dass die E-Mail-Adresse gültig ist, und der Angreifer könnte diesen Nutzer dann mit raffinierteren Phishing-Versuchen anvisieren.

10. Weitere Möglichkeit zur Interaktion:

Durch das Platzieren von legitimen Links oder rechtlich klingenden Texten am Ende erhalten Phishing-E-Mails eine weitere Gelegenheit, den Empfänger zur Interaktion zu bewegen. Manchmal scrollt der Empfänger bis zum Ende der E-Mail, um zu sehen, ob es noch mehr Informationen gibt, und die Fußzeile bietet dann eine weitere Chance, sie zu einem schädlichen Link zu führen, besonders wenn sie im Hauptteil der E-Mail noch nicht auf die Aufforderung reagiert haben.

Wie man sich gegen diese Taktiken schützt:

  • Überprüfe immer die E-Mail-Adresse des Absenders und verifiziere sie, indem du nach offiziellen Kontaktinformationen suchst.
  • Sei vorsichtig bei Links. Fahre mit der Maus über sie, um die echte URL zu sehen, bevor du darauf klickst, und stelle sicher, dass sie legitim ist. Bei dieser Methode solltest du Vorsicht walten lassen, da es Techniken gibt, mit deren Hilfe die echte URL verschleiert werden kann!
  • Vertraue nicht auf E-Mails mit dringlicher oder bedrohlicher Sprache. Wenn etwas merkwürdig oder sehr dringlich erscheint, nimm dir die Zeit, die E-Mail auf Legitimität zu überprüfen.
  • Verwende eine Zwei-Faktor-Authentifizierung (2FA), wann immer es möglich ist, um eine zusätzliche Sicherheitsebene hinzuzufügen.
  • Verifiziere die E-Mail über offizielle Kanäle, wenn die E-Mail behauptet, von einem Unternehmen zu stammen, dem du vertrauen kannst, beispielsweise indem du den Kundendienst anrufst oder dich direkt über die offizielle Website in dein Konto einloggst.
Abb. 1: Screenshot einer Phishing-Mail, die nach einer Reihe von Leerzeilen am Ende der Mail weiteren Text enthält. Diesen Text sieht der Empfänger erst, wenn er ganz weit nach unten scrollt.
Abb. 1: Screenshot einer Phishing-Mail, die nach einer Reihe von Leerzeilen am Ende der Mail weiteren Text enthält. Diesen Text sieht der Empfänger erst, wenn er ganz weit nach unten scrollt.

Das ist allerdings noch nicht das Ende vom Lied, denn es gibt noch weitere Gründe, warum Phishing-E-Mails Text oder Links zu legitimen Unternehmen oder scheinbar harmlosen Webseiten enthalten: Werbe- und Anzeigenbetrug (Ad Fraud) zum Beispiel.

Weitere Taktiken im Zusammenhang mit Ad Fraud, Traffic-Generierung, SEO oder Malwareverbreitung

1. Ad Fraud und Affiliate-Marketing-Programme

Phishing-E-Mails enthalten oft Links, die zu Affiliate-Marketing-Seiten oder Websites führen, die darauf ausgelegt sind, Einnahmen durch Klicks zu generieren (bekannt als Ad Fraud). Durch das Einfügen dieser Links hoffen Angreifer, Geld durch Pay-per-Click (PPC)-Werbung oder Affiliate-Provisionen zu verdienen.

  • Wie es funktioniert: Phisher können Links zu legitimen, aber betrügerischen Plattformen oder Affiliate-Programmen einfügen, wie zum Beispiel E-Commerce-Seiten oder Online-Diensten. Wenn ein Nutzer auf einen dieser Links klickt (in der Annahme, es handelt sich um legitimen Inhalt der E-Mail), verdient der Angreifer Geld basierend auf dem Klick oder einem möglichen Verkauf.
  • Beispiel: Eine Phishing-E-Mail könnte ein falsches Angebot oder eine Promotion enthalten, die zu einer E-Commerce-Seite führt, die entweder schädlich oder eine legitime Seite ist, auf der der Phisher trotzdem eine Provision verdient. Der Angreifer verdient eine Provision für den Klick oder den Kauf, der über diesen Link erfolgt, selbst wenn der Nutzer letztendlich auf den Betrug hereinfällt.

Warum es gemacht wird:

  • Einnahmengenerierung: Das Hauptziel dieser Taktik ist es, die Phishing-Attacke zu monetarisieren. Selbst wenn der Phishing-Betrug nicht zu gestohlenen Daten oder Zugangsdaten führt, kann der Phisher trotzdem durch Ad Fraud Geld verdienen.
  • Legitime Erscheinung: Indem bekannte Plattformen oder Unternehmen verwendet werden, machen Phishing-E-Mails die Links glaubwürdig, was den Empfänger ermutigt, zu klicken und so die Betrugs-Einnahmen zu generieren.

2. Click Fraud und Traffic-Generierung

In einigen Phishing-Kampagnen werden die Links in der E-Mail verwendet, um den Traffic auf bestimmte Websites zu lenken, selbst wenn sie nichts mit dem Betrug zu tun haben. Dies wird oft als Click Fraud bezeichnet.

  • Wie es funktioniert: Phisher platzieren betrügerische Links in der E-Mail, die ahnungslose Nutzer auf Websites umleiten, die darauf ausgelegt sind, organischen Traffic zu generieren. Diese Websites können dazu verwendet werden, den Website-Traffic zu erhöhen, um die Popularität der Seite in den Augen von Werbetreibenden künstlich zu steigern, was später zu höheren Einnahmen aus Werbung führen kann.
  • Beispiel: Die Phishing-E-Mail könnte einen falschen Link zu einer „Umfrage“ oder „Promotion“ enthalten, die zu einer Website führt, die darauf abzielt, Traffic zu erzeugen. Durch die Erhöhung des Traffics kann die Website in den Suchergebnissen von Google höher eingestuft werden, was dem Angreifer hilft, Werbung zu verkaufen oder Einnahmen aus Werbenetzwerken zu erzielen.

Warum es gemacht wird:

  • Steigerung der Website-Sichtbarkeit: Je mehr Traffic eine Website erhält, desto höher wird sie von Suchmaschinen bewertet und desto mehr Einnahmen kann sie durch Werbung oder höhere Werbeeinnahmen erzielen.
  • Erhöhung der Werbeeinnahmen: Der Angreifer profitiert, indem er den SEO-Rang einer Website verbessert, die später durch Werbung monetarisiert werden kann.

3. Spam- und Malware-Verbreitung für Werbenetzwerke

Phishing-E-Mails können auch als Mittel verwendet werden, um Malware zu verbreiten, die dazu dient, Werbung auf Webseiten anzuzeigen, die von dem Opfer besucht werden. Dies ist eine Form des Ad Fraud, bei der der Angreifer Malware verwendet, um den Webbrowser zu kapern und unbefugte Werbung auf Webseiten einzufügen, die das Opfer besucht.

  • Wie es funktioniert: Wenn das Opfer auf einen Link in einer Phishing-E-Mail klickt, könnte es auf eine Seite weitergeleitet werden, die Malware herunterlädt. Nachdem die Malware installiert ist, kann sie betrügerische Anzeigen in den besuchten Webseiten einfügen, oder die Art und Weise ändern, wie Anzeigen auf legitimen Seiten angezeigt werden, was dem Angreifer ermöglicht, Ad Fraud-Einnahmen zu erzielen.
  • Beispiel: Eine Phishing-E-Mail könnte zu einer schädlichen Webseite führen, die ein falsches Software-Downloadangebot bietet. Wenn die Software installiert wird, kann sie heimlich betrügerische Werbung in das Browsing-Erlebnis des Nutzers einfügen, wodurch der Angreifer Einnahmen basierend auf Anzeigenimpressionen oder Klicks erzielt.

Warum es gemacht wird:

  • Einnahmen durch Ad Fraud: Sobald die Malware installiert ist, kann der Angreifer das Gerät des Opfers monetarisieren, indem er betrügerische Anzeigenimpressionen oder Klicks generiert.
  • Automatisierung: Diese Technik ermöglicht es den Phishern, Einnahmen auf eine kontinuierliche und automatisierte Weise zu erzielen, ohne dass weitere Interaktionen vom Opfer erforderlich sind.

4. SEO-Manipulation (Suchmaschinenoptimierung)

Phishing-E-Mails enthalten möglicherweise Links, die zu minderwertigen Websites führen, die darauf abzielen, die SEO-Rankings durch erhöhten Traffic zu manipulieren. Dies ist ein Versuch, die Suchergebnisse zu manipulieren, entweder aus betrügerischen Gründen oder um die Sichtbarkeit der Seite für legitime Werbeeinnahmen zu erhöhen.

  • Wie es funktioniert: Phisher könnten Links in ihren E-Mails einfügen, die zu einer Seite führen, die darauf abzielt, Traffic zu erhöhen. Wenn Nutzer diese Seite besuchen, kann der Traffic das SEO-Ranking der Seite verbessern, was die Seite in den Suchergebnissen sichtbarer macht. Das ultimative Ziel ist es, Einnahmen zu erzielen, indem Werbeflächen auf der Seite verkauft oder ihre Sichtbarkeit in Suchmaschinen erhöht wird.
  • Beispiel: Eine Phishing-E-Mail könnte einen Link zu einem gefälschten Artikel oder einer betrügerischen Website enthalten, die darauf abzielt, Traffic zu generieren. Durch die Erhöhung des Traffics kann der Rang der Website in den Suchmaschinen verbessert werden, was dem Angreifer hilft, Werbeflächen zu verkaufen oder höhere Einnahmen aus Werbenetzwerken zu erzielen.

Warum es gemacht wird:

  • Steigerung der Website-Sichtbarkeit: Der Angreifer profitiert, indem er den SEO-Rang einer Seite erhöht, die später durch Werbung monetarisiert werden kann.
  • Erhöhung der Ad-Einnahmen: Eine Website, die mehr Traffic bekommt, wird von Werbetreibenden höher bewertet und kann mehr Einnahmen aus Werbung erzielen.

5. Ausnutzung von Social-Media-Plattformen für Werbebetrug

Einige Phishing-E-Mails enthalten Links, die zu Websites führen, die darauf ausgelegt sind, Social-Media-Plattformen für Ad Fraud auszunutzen. Diese Phishing-Versuche ermutigen Nutzer, den Link zu teilen oder Social-Media-Konten zu folgen, im Austausch für einen Anreiz wie ein „Gewinn“ oder „Angebot“.

  • Wie es funktioniert: Die Phishing-E-Mail könnte eine Website bewerben, die den Nutzer auffordert, „dieses Angebot auf sozialen Medien zu teilen“ oder „unserem Account zu folgen“, um einen Preis zu gewinnen. Wenn der Nutzer mit der Seite interagiert, kann der Angreifer Social-Media-Engagement generieren, das schließlich zur Monetarisierung durch Werbung führt.
  • Beispiel: Die Phishing-E-Mail könnte einen kostenlosen Artikel oder Rabatt anbieten, wenn der Nutzer einen Link auf sozialen Medien teilt. Der Angreifer profitiert von dem dadurch generierten Traffic und Engagement auf Social-Media-Plattformen, was durch Werbung monetarisiert werden kann.

Warum es gemacht wird:

  • Social-Media-Engagement: Mehr Follower, Shares und Likes erhöhen die Glaubwürdigkeit der betrügerischen Seite oder des Profils, was dem Angreifer hilft, Einnahmen durch Werbung zu erzielen.
  • Erreichung weiterer Opfer: Das Teilen von Links auf Social Media hilft, die Phishing-Kampagne an mehr potenzielle Opfer zu verbreiten, was den Angriff verstärkt.

Wie du dich schützen kannst:

  • Werbeblocker verwenden: Diese können helfen, schadhafte Werbung zu verhindern, die durch Malware oder betrügerische Websites in den Browser eingefügt wird.
  • Vorsicht beim Klicken auf unbekannte Links: Sei vorsichtig, wenn du Links in unerwünschten E-Mails oder Nachrichten anklickst.
  • Überprüfe offizielle Quellen: Wenn eine E-Mail ein Angebot oder einen Rabatt enthält, besuche die offizielle Website, um die Legitimität zu überprüfen.
  • Führe regelmäßige Malware-Scans durch: Stelle sicher, dass dein Gerät frei von Malware ist, die Ad Fraud oder andere schadhafte Aktivitäten ermöglichen könnte.

Letztlich geht’s doch immer nur um’s Geld, oder?

Phisher nutzen diese Techniken oft gleichzeitig. Zum Beispiel kombinieren sie Ad Fraud, SEO-Manipulation und Malware-basierte Werbeeinblendung, um ihre Einnahmen zu maximieren.

Es ist wichtig, diese Taktiken zu erkennen und sich der Risiken bewusst zu sein, die mit dem Öffnen von Phishing-E-Mails verbunden sind. Ein wachsamer Umgang mit E-Mails, das Überprüfen von Links und die Nutzung von Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, Werbeblocker, Anti-Viren-Software oder Malware-Scanner können helfen, sich vor solchen Bedrohungen zu schützen.

Fazit: Vertraue niemals blind auf Informationen, die dir per E-Mail zugeschickt werden, und nimm dir immer die Zeit, verdächtige E-Mails zu überprüfen.

Diese News und Updates machen dich zum Geek und Cybersicherheits-Experten!
Abonniere jetzt unsere kostenfreien Cyber-News und -Updates. 2.500 Abonnenten lesen bereits regelmäßig unseren Newsletter und profitieren von unseren Tipps und Ratschlägen.

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert