TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

Hoax-Liste
Extra-Blätter
  © TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009
 Hoax-Info   Hoax-Liste   Weblog   Extra-Blätter   Sicherheits-Updates   E-Mail Hilfe   Presse 

Extra-Blatt (08.04.2003)

Billig ist manchmal doch zu teuer...

Spendensammlung mit Kopie der echten Website

Update 09.04.03
Eine unverlangt erhaltene Mail erweist sich häufig als Spam (Werbung). In diesem Fall sollte eine Mail Spenden für eine gemeinnützige Organisation einwerben. Schaut man jedoch ein wenig genauer hin, stellen sich erhebliche Zweifel an der Seriosität dieser Spendenbitte ein.

Originaltext

Die E-Mail enthält einen Link zu einer Website, deren URL doch eher dubios erscheint:

Click here:
<http://www.accountability1.org.sv@ns.todnkewgrpy.ph/search.php?id=acorsvi>
Tell me more
D.h. es soll der (falsche!) Eindruck entstehen, der Link führe zum Server 'www.accountability1.org', den es jedoch gar nicht gibt, ebenso wenig wie 'www.accountability1.org.sv'. Tatsächlich landet man auf 'ns.todnkewgrpy.ph'.
Noch dubioser wird der Eindruck, wenn man dem Link folgt und weitere, verlinkte Seiten aufruft. Dann wird die URL durch eine lange Folge von '_____' und 'xxxxx' so lang, dass sie im Browser nicht mehr zu erkennen ist, weil sie weit nach rechts reicht und das Ende der Adresse erst sichtbar wird, wenn man in die URL-Zeile des Browsers klickt und die Taste [Ende] drückt:
URL-Zeile des Browsers
Die ganze Website ist eine Kopie der Original-Website des 'Institute for Accountability' (IFA), einer in den USA als gemeinnützig anerkannten Organisation. Die Original-Site ist unter den Adressen www.ifacc.org bzw. www.ifacc.ch zu finden. Dort gibt es ein Spendenformular, das auf einem Server mit einer gesicherten, verschlüsselten (SSL-) Verbindung liegt, erkennbar daran, dass die URL nun mit https:// statt mit http:// beginnt. Schloss-Symbol Ferner zeigt der Browser dies durch ein Schloss-Symbol am unteren Rand und (meist) einen Sicherheitshinweis an.
Folgt man hingegen dem Spenden-Link auf der kopierten Website, gelangt man schließlich auf ein ungesichertes Web-Formular, in das man seine Kreditkartendaten eintragen soll. Dieses Formular stellt (abgesehen von der URL) den einzigen wesentlichen Unterschied zum Original dar.

Was soll diese Kopie also?
Hier sind drei Antworten denkbar, die alle nicht gerade für die 'Kopierer' sprechen:
 1. Man will die Spenden selbst kassieren, die für das IFA gedacht sind.
 2. Man will die Kreditkartendaten der Spender für weitere betrügerische Zwecke nutzen.
Beide Möglichkeiten schließen sich zudem nicht gegenseitig aus.
 3. Eine Partnerorganisation versucht mit minimalen Kosten Spenden einzuwerben.

Was spricht für einen kriminellen Hintergrund?
Die vermeintliche Spenden-Mail kommt mit einer russischen Absenderadresse. Der Server, auf dem die Kopie liegt, hat eine auf den Philippinen registrierte Domain (.ph), die IP-Adresse des Servers verweist hingegen auf einen Provider in Indien. Hinzu kommt die dubiose URL-Verschleierung. Es gibt ein Original zu dieser Kopie, das unter einer ganz 'normalen' URL erreichbar ist und im Gegensatz zur Kopie eine sichere Verbindung für die Datenübermittlung bietet.

Es muss dringend davon abgeraten werden, auf solchen Seiten Kreditkartendaten einzugeben oder andere persönliche Informationen. Wenn Sie im Internet mit Ihrer Kreditkarte bezahlen wollen, achten Sie stets darauf, dass die Eingabe und Übermittlung der Daten über eine verschlüsselte Verbindung erfolgt. Normale http-Verbindungen können von Dritten abgefangen und mitgelesen werden. Bei verschlüsselten Verbindungen (https://) ist das weitaus schwieriger - achten Sie jedoch auch hierbei auf Warnungen Ihres Browsers wg. abgelaufener Server-Zertifikate.
Achten Sie ferner darauf, wem Sie Ihre persönlichen Daten anvertrauen. Lesen Sie sorgfältig die Geschäftsbedingungen und die Datenschutzinformationen eines Anbieters. Beachten Sie dabei auch, dass diese im Vergleich zu Ihrem letzten Einkauf dort geändert worden sein können. Sind diese Informationen nicht verfügbar, gehen Sie woanders einkaufen (oder spenden).

Update 09.04.2003
Nach Auskunft des IFA wurde die in der Spam-Mail beworbene Website durch eine vom IFA beauftragte 'Marketing-Agentur' erstellt. Dabei blieben allerdings einige Leistungen dieser sehr niedrig-preisigen Agentur weit hinter dem vereinbarten Umfang zurück, was den recht unseriösen Eindruck erklärt. Die Zusammenarbeit mit der Agentur wurde beendet, die Kopie der Website gelöscht und der in der o.g. Spam-Mail Link führt nunmehr ins Leere.
Das IFA erklärte dazu, man habe eine möglichst preisgünstige Möglichkeit gesucht, da man keine Spendengelder auf eine kostspielige Werbekampagne verwenden wollte, die dann wiederum Spenden einbringen sollte. Alle Mitarbeiter des IFA arbeiteten ehrenamtlich, hätten noch nie etwas für ihre Arbeit bekommen. Es seien einige Spenden über diese Website eingegangen, die zu 100% für karitaive Zwecke verwendet würden. Es zeige sich an diesem Beispiel, dass man doch besser mit renommierten [Anm.: oder zumindest bekanntermaßen seriösen] Agenturen zusammen arbeiten sollte.

Aus meiner Sicht bleibt weiterhin offen, ob die Kreditkartendaten wirklich nur für den angegebenen Zweck verwendet wurden. Konkretere Hinweise auf einen evtl. Missbrauch liegen jedoch nicht vor. Da die Daten über eine völlig ungesicherte Verbindung erhoben wurden, könnten sie auch von Dritten abgefangen worden sein.


zurück zur Hoax-Seite | zur Hoax-Liste