Sprachbarrieren als Phishingschutz?

Sind Deutschsprachige (oder allgemein alle nicht-Englischmuttersprachler) E-Mail Nutzer durch sprachliche Barrieren besser vor internationalem Phishing/Spam geschützt als Englischsprachige Nutzer? Kann eine Sprachbarriere als Passiver Phishingschutz angesehen werden?

Viele haben ihn; den Spam-Email-Account. Für alle die, welche zu faul sind, sich auf trashmail jedes mal einen neuen zu besorgen. Mit der Zeit sammeln sich dort sehr ulkige Dinge; Mittel gegen meinen Haarausfall und Sehschwäche, Potenzmittel und trotz meiner offenbar optischen und reproduktiven Mängel wollen sich 70 attraktive Frauen mit mir treffen. Im Radius von 2km. Auf einem Dorf. Wo die einzige Zahl, die der Angebotenen nahekommt, dem Altersdurchschnitt der hiesigen Bevölkerkung entsprechen würde.

Leider (oder; glücklicherweise) scheint ein Großteil dieser Personen, welche sich da als Partner anbieten, die 9 Jahre Schulpflicht durch geistige Abstinenz überstanden zu haben oder den Meister Yoda-Konverter genutzt zu haben. (Den gibt’s wirklich: http://www.yodaspeak.co.uk/) .
Wer auf so etwas reinfällt; selbst Schuld.

Heute bin ich bei meinen Recherchen über Ransomware über das bekannte Problemkind „Locky“ gestoßen, wo im englischsprachigen Wikipedia Artikel die generische Mailvorlage zitiert wurde.

Die Vorlage ist in diesem Fall sehr kurz, was die Übersetzungsfehleranfälligkeit etwas reduziert. Allerdings wird der letzte Absatz von sowohl Google („In der Hoffnung, die oben zu Ihrer Zufriedenheit, bleiben wir“) als auch Bing („Wir bleiben in der Hoffnung die oben zu Ihrer Zufriedenheit) falsch übersetzt. Für aufmerksame Leser (und da sollte man bei einer offenbar geschäftlichen Mail sein) ein Indiz, um stufig zu werden.

Allerdings handelt es sich hier schon um professionelleres Phishing bzw. E-Mail-Betrug, deswegen möchte ich mich mit dem quantitativen Phishing auseinandersetzen, welches konsequenterweise weniger qualitativ hochwertiger ist.

Ich bin untewegs auf eine Interessante Statistik gestoßen, welche leider ohne Quelle rumschwebte.
original
Mit rund 95% dominiert Englisch als Spamsprache. Für deutsche Spam Mails in Deutschland bleiben 17% übrig. Das schließt nicht die schlecht übersetzten Mails aus. Diese kommen meiner Erfahrung nach meistens aus den USA, Russland, China, Südamerika und dem Balkan.
Unter 50 deutschen Spam/Phishing-Emails in meinem Ordner waren gerade einmal 2 annähernd gut übersetzt. Das sind 4%.

Gehen wir von 100.000 Mails an deutsche Internetnutzer aus, sind davon 17.000 auf Deutsch verfasst. Sellt man sich nicht sonderlich stupide an, sollten diese keine große Gefahr darstellen. Gehen wir mal von einem gefährlicheren Szenario (villeicht hatte mein Mailaccount ja auch nur Glück) aus und erhöhen die Prozentzahl des gut übersetzten Spams auf 8% bleiben von den Hunderttausend noch 1.360 Mails übrig. Das wären somit knapp 1,4% der Mails.

Klingt eigentlich marginal. 2013 betrug die Anzahl der Internetbenutzer in Deutschland 80,62 Millionen (84,1% der Bevölkerung). Gehen wir exemplarisch von 60 Millionen Mailnutzern aus würden trotzdem 840.000 Personen eine potentiell gefährliche Phishingmail erhalten. Für alle deutschen Mails ist die Zahl kathastrophal hoch: 4.800.000. Das übersteigt die Einwohnerzahl des Freistaates Sachsen. Geht man davon aus, dass auch nur 5% der Empfänger auf die (professionelleren) Mailangebote hereinfallen, ergibt das 42.000 Treffer. Ein riesen Erfolg für Phisher. Leider bleibt es nicht bei einer Mail, somit wird die Dunkelziffer wesentlich höher liegen. Mathematische Fehler sind nicht ausgeschlossen. Es handelt sich hierbei um ein bewusst abschreckendes Beispiel.

Es muss allerdings bedacht werden, dass es neben diesem Massenspam auch gezielte Angriffe (Spear Phishing) gibt, welche wesentlich manipulativer wirken und auch erfolgreicher sind.

Ziel ist es, durch Titel und Autoritäre Formulierungen dem Opfer gegenüber eine Überlegenheitsrolle zu etablieren, um Kooperation zu erzwingen (Abmahnungen, Anklagen, allgemein meist juristische Aspekte). Für Viele scheint es logischer, einmalig 1500 Euro zu zahlen, als wegen Urheberrechtsverletzungen utopisch hohe Summen zu blechen.
Das Ganze funktioniert aber auch anders herum; das Opfer ist der Glückspilz: Lottogewinne, Sachgewinne, Reiche Verwandte 42ten Grades sind gestorben, etc. Hier wird sich die Gier und die Euphorie des Opfers zunutze gemacht, da wenige in dem Moment klar denken und differenzieren können.
Auch können die Übersetzungfehler teils gewollt sein, um das Angebot authentischer zu machen; gebrochenes Englisch oder mieses Deutsch machen einen somalischen Prinzen oder eine russische Bekanntschaft doch gleich viel authentischer.
Jedoch ist es mir nicht begreiflich, wieso es genug Personen gibt, die auf den Schwachsinn mit [hier Zahl einfügen] Singles in der Umgebung (und ähnliche Angebote) hereinfallen. Das hat nichts mehr mit ausgeklügelter Manipulation zu tun, sondern einfach nur mit Dummheit.

Strategisch gesehen ist dieses Verhalten seitens der Phischer allerdings klug; es werden Empfänger herausgefiltert, welche nicht auf dem Spam reagieren würden. Der Aufwand beim Phishing besteht meist nicht im Versenden, sondern im Interageiren. Somit wäre es aus deren Sicht verschwendete Zeit, mit „klar denkenden“ Personen zu interagieren. Zeigen Opfer allerdings Schwachstellen, indem sie entweder antworten oder einen Link anklicken, welcher die Aktivität des Empfängers registriert, werden diese höher priorisiert.

Allerdings sind nicht Englischsprecher statistisch wesentlich sicherer als Personen, die Englisch als ihre Muttersprache ansehen.

Warum fallen Nicht-Englischsprecher trotzdem auf Englische Mails herein? Das liegt wahrscheinlich zum einen an der mangelnden Fremdsprachenkompetenz, womit ein Reflektieren des Sachverhalts nicht vollständig möglich ist und andererseits ist bekannt, dass Englisch die internationale Geschäftssprache ist und dies auf bestimmte Personen einschüchternd oder autoritär wirken kann, was das subjektive Vertrauensgefühl stärkt.

Mein Fazit; trotz der scheinbar minimalen Wahrscheinlichkeit, eine Deutsche Phishingmail zu empfangen, ist diese Gefahr nicht zu unterschätzen. Im Jahre 2015 wurden der Polizei 4.479 Fälle von Online-Banking Phishing gemeldet. Nicht alle Fälle können hierbei dem Massenphishing zugeordnet werden, ein Großteil wurde sicherlich durch gezieltes Phishing (Spear Phishing) erreicht, allerdings ist dies ein weiterer Grund, jeder Email, welche persönliche Informationen verlangt, mit genügend Misstrauen entgegenzukommen.

Was kann man dagegen unternehmen?

Prinzipiell sollte man niemals auf E-Mail Angebote eingehen, wenn die Adresse/der Absender unbekannt ist. Handelt es sich um bekannte Institute sind diese meistens (z.B Webmail) als authentifiziert (Haken, etc.) gekennzeichnet. Rechnungen kommen meist zeitnah an, wobei Zahlungsaufforderungen in den heutigen Zeiten nach 2 Tagen verdächtig sein sollten.
Hier gilt weiterhin Vorsicht; lieber vor Ort (wenn keine Telefonnummer/Kontaktdaten angegeben ist noch mehr Vorsicht geboten) anrufen und den Sachverhalt bestätigen lassen.
Das klicken von Links kann im geringsten Fall als Aktivitätsanzeige für den Spammer zählen, wodurch die Mailadresse wohl frequentiert attackiert wird, im Schlimstfall wird der PC kompromittiert. Auf Mahnungen und Anwaltsschreiben nicht reagieren (jedenfalls nicht antworten) und im Zweifelsfall einen Rechtsbeistand hinzuziehen.

TL;DR: Ja, Internetnutzer im nicht-englischen Raum leben rechnerisch gesehen ein wenig ungefährlicher im Netz. Trotzdem gibt es genügend Delikte, die einen Verbesserungsbedarf der allgemeinen Sicherheit im Internet verdeutlichen. Als Präventionsmaßnahme gehört ein gesundes Maß an Skepsis dazu. Man sollte primär darauf achten, niemals sensitive Information via Mail zu teilen, vor allem nicht bei Unbekannten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.