Ein wichtiger Aspekt der digitalen Sicherheit ist das Erkennen von Phishing-Versuchen.

Häufig sind Anwender unsicher, ob sie eine betrügerische E-Mail vor sich haben oder ob es sich um eine offizielle Nachricht handelt.

Tatsächlich gibt es einfache Wege, dies zu unterscheiden, was besonders für die Sicherheit von Accounts auf Plattformen wie Steam von Valve Corporation oder anderen Online-Diensten relevant ist.

Ein grundlegendes Verständnis darüber, wie Ihr E-Mail-Programm funktioniert und wie E-Mails aufgebaut sind, kann entscheidend sein. Mailheader oder Kopfzeilen bieten wertvolle Informationen zur Überprüfung der Authentizität einer E-Mail.

Viele E-Mail-Clients ermöglichen es, diese Informationen einzusehen und so gefälschte von echten Nachrichten zu unterscheiden.

Phishing bezeichnet betrügerische Versuche, durch gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten von Internetnutzern zu gelangen, um Identitätsdiebstahl zu begehen.

Das primäre Ziel dieser Aktivitäten ist es, mit den unrechtmäßig erlangten Informationen finanziellen Schaden anzurichten, etwa durch Kontoplünderungen oder ähnliche Delikte, und so den betroffenen Personen zu schaden.

https://gtm.steamproxy.vip/sharedfiles/filedetails/?id=2510536448

Um Phishing-E-Mails zu identifizieren, ist ein Grundverständnis darüber, wie das eigene E-Mail-Programm funktioniert und wie E-Mails strukturiert sind, essentiell

Ein hilfreiches Werkzeug hierfür sind die Mailheader oder Kopfzeilen, die in jeder E-Mail enthalten sind. Diese bieten detaillierte Informationen, die es ermöglichen, betrügerische E-Mails von legitimen Nachrichten zu unterscheiden.

Viele E-Mail-Clients, wie zum Beispiel Thunderbird, verfügen über Funktionen, die es erlauben, den Mailheader anzuzeigen.


In dem Bild ist ein Posteingang zu erkennen mit einer geöffneten E-Mail des "Steam- Supports".

Um den Header zu sehen wird der Punkt "Ansicht, Header/Kopfzeile -> Alle oder Alle anzeigen" aktiviert, sodass nun zusätzliche Informationen zu der eingegangenen Mail ersichtlich sind.


Valve Corporation kommt Nutzern hier sogar sehr weit entgegen, da die Eckdaten seit langen Jahren immer gleich bleiben. Alleine schon deswegen können Nutzer relativ leicht nachvollziehen, ob eine E-Mail nun wirklich von Valve kommt... oder nicht.

Was sie allerdings nicht schaffen sind immer kleine Details und um die kümmern sie sich auch seit Jahren nicht. So ist ein einfaches "Klick mich" weder aussagekräftig, noch ist es nachvollziehbar wohin es geht. Das machen sich natürlich auch Pishingmails zunutze.

Hier hilft es entweder mit der Maus über den Link zu gehen ohne zu klicken und kurz zu warten bis ein Hinweis auftaucht oder den Link per Rechtklick kopieren und bei Unsicherheiten erst in eine Textdatei zu kopieren um zu prüfen.

Metadaten spielen eine zunehmend kritische Rolle sowohl im Kontext staatlicher Überwachung als auch in der persönlichen Datensicherheit. Während staatliche Einrichtungen und diverse Behörden ein verstärktes Interesse an Metadaten[gameindustry.eu] zeigen, um Überwachungs- und Kontrollmaßnahmen zu intensivieren, dienen diese Daten in unserem spezifischen Anwendungsfall dazu, Phishing-E-Mails von legitimen Nachrichten, etwa von Valve, zu unterscheiden.

Metadaten enthalten spezifische, eindeutig identifizierbare Informationen, die oft vom jeweiligen E-Mail-Provider stammen und zusätzliche Daten zur E-Mail hinzufügen. Diese können entscheidende Hinweise zur Authentizität einer Nachricht bieten. Eine detaillierte Erläuterung der Nutzung und Analyse von Metadaten würde jedoch den Umfang dieses Leitfadens überschreiten.

Da wir uns auf Steam befinden, werden hier natürlich auch nur Daten von Valve Corporation selbst erläutert.





From: Von wem die Mail kommt = noreply@steampowered.com - Immer. Ohne Ausnahme
Subject: Betreff = Sie haben eine neue Nachricht vom Steam-Team
To: An wen adressiert? An einen selbst
Date: Datum
X-Delivery-Time: Unix Zeitstempel
X-Envelope-From / to: 2 weitere Identifier
Authentication-Results: Beinhaltet eigenen Mailprovider z.b. 1&1, Webde, Gmail, Yahoo etc
DKIM: Steht für DomainKeys Identified Mail - Digitale Unterschrift
Received-SPF: Steht für "Sender Policy Framework". Der Block soll das Fälschen der Absenderadresse einer E-Mail verhindern.
X-Steam-Message-Type: Betreff - Valve Corporation hat diese Werte je nach Betreff und Thematik in jeder E-Mail stehen

Das wären wie folgt:

So stehen hier neben den eigentlichen Absenderdaten, die verwendete IP-Adressen, verwendete Domänen, Informationen zum Ausgangserver des Absenders, Zeitstempel, Kennung des verwendeten Mail-Systems und wir haben eine digitale Signatur die Valve Corporation als Absender eindeutig identifizieren kann.

ipv4/6-Adressen selbst lassen sich über Dienste wie z.b. Virustotal, IP-Info, Browserleaks uvm. überprüfen.


IP-Adressen
Hier hat Valve dennoch einen ganzen IPv4 Block zur Verfügung. Beispiele wären die Ip's: 208.78.167.14, 208.64.201.202, 208.64.202.47, 208.64.202.37, 208.64.202.62, 208.64.202.52, 208.64.202.60, 208.64.200.223 usw

Beispielkennungen des verwendeten Postausgangsservers / SMTP

Wer jetzt ein bisschen pfiffig ist, vergleicht die Werte natürlich mit anderen E-Mails.

Wenn die in den Mailheadern enthaltenen Daten erheblich von bekannten Mustern abweichen oder völlig unerwartete Informationen aufweisen, ist die Handhabung einfach: Solche E-Mails sollten direkt gelöscht werden ohne weitere Zeit mit Klicken oder Lesen zu verschwenden. Dies minimiert das Risiko auf Phishing-Versuche hereinzufallen.

Die Überprüfung von E-Mail-Headern ist lediglich ein erster Schritt zur Verifizierung der Herkunft von Daten. Für einen umfassenderen und sichereren Umgang im Internet sind weitere, miteinander verknüpfte Maßnahmen empfehlenswert

Phishing nutzt Unachtsamkeit, Gier oder Unwissen aus. Ein unüberlegter Klick kann schnell zu ungewollten Konsequenzen führen. Plattformen wie Steam von der Valve Corporation bieten oft nur unzureichenden Schutz, weshalb besondere Vorsicht geboten ist.

1. Kritisches Denken und Misstrauen gegenüber zu guten Angeboten, insbesondere im Internet.
   
2. Überprüfung der Adresszeilen auf exakte Schreibweise, um Phishing-Seiten zu erkennen, die sich oft nur minimal von den Originalen unterscheiden.
   
3. Vorsicht bei der Weitergabe von persönlichen Daten an unbekannte Seiten oder Anbieter. Dies gilt besonders für Plattformen wie Steam.
   
4. Skepsis gegenüber unbekannten Links, sei es in E-Mails, Chats oder auf Webseiten. Im Zweifelsfall Links überprüfen, bevor man sie anklickt.

1. Das Zurschaustellen von wertvollen Gegenständen in Spielen wie CS:GO kann zu Account-Einbrüchen führen. Es empfiehlt sich, das eigene Inventar auf Privat zu stellen.
   
2. Valve Corporation versendet keine Aufforderungen, die auf externe Seiten verweisen oder Login-Informationen anfragen.
   
3. Vorsicht bei der Anmeldung in zahlreichen Gruppen, da dies Phishing-Versuche und Spam nach sich ziehen kann.
   
4. Verdächtige Anfragen sollten sofort abgelehnt werden. Auch vertrauenswürdige Kontakte können kompromittiert sein.
   
5. Das Öffnen von Links aus dem Chat oder dem Steam-Overlay sollte vermieden werden, da hier Schutzfunktionen wie Adblocker oder Noscript fehlen. Ebenfalls empfiehlt sich die gänzliche Deaktivierung des Steam-Overlays[gameindustry.eu].

Fortgeschrittene Nutzer haben die Möglichkeit, den Quellcode im Steam-Client sowie auf der Webseite zu inspizieren. Durch die Content Security Policy (CSP) sind alle von Steam und Valve Corporation genutzten Domains ersichtlich, was ein weiterer Schritt zur Überprüfung der Sicherheit darstellen kann.

1. Blocken von externen Inhalten in E-Mails
   
2. Überprüfe E-Mails und Internetauftritte auf verdächtige Identifier (Schreibfehler, Domainnamen, Grafikelemente, Zertifikate)
   
3. Zertifikate sollten keine Cookies transportieren oder schreiben. Wenn, ist was faul.
   
4. Für wichtige Dienste einen seperaten Mail-Account nutzen
   
5. Lässt sich ein Absender nicht verifizieren hilft zur Not immer eine Mail zu ignorieren
   
6. Für wichtige Dienste sollte wie bei Passwörtern eine E-Mail Adresse nur einmalig verwendet werden
   
7. Nicht verwendete E-Mail Adressen löschen, aufpassen dass keine Zweitadressen (z.b. für Widerherstellung) vergessen werden
   
8. Links in E-Mails nie direkt anklicken. Erst schauen wohin ein Link führt (Mouseover) und die Adresse vorher ggf. über eine Suchmaschine zwecks Information ausfindig machen.

Die Einmaligkeit von E-Mails hat den Vorteil, dass man als Nutzer genau sieht wenn Daten einfach weitergegeben werden und auf einmal z.B. fremde Newsletter im Postkasten hat.

Im Fall einer Kompromitierung des eigenen Accounts durch Pishingattacken, Keyloggern oder Leaks ist es so möglich effizient eigene Daten zu ändern, ohne dass weitere Dienste betroffen sind. Natürlich sollte das eigene System in dem Bezug immer auf Sicherheit überprüft werden.

1. Vermeiden Sie das Speichern von Passwörtern auf eigenen Geräten, da diese durch spezialisierte Programme oder Schadsoftware wie Keylogger und MITM (Man-In-The-Middle) Angriffe leicht kompromittiert werden können. Selbst die Maskierung von Passwörtern durch Asterisken (*) während der Eingabe bietet nur begrenzten Schutz.
   
2. Das Ändern von Passwörtern in regelmäßigen Abständen, etwa alle drei Monate, wird empfohlen, um die Sicherheit weiter zu erhöhen.
   
3. Einfache und leicht zu erratende Passwörter wie "123456", "HansWurst007" oder "Vorname+Geburtsjahr" sollten vermieden werden. Diese Art von Passwörtern ist weit verbreitet und stellt ein erhebliches Sicherheitsrisiko dar.
   
4. Die Mehrfachverwendung von Passwörtern über verschiedene Dienste hinweg ist riskant und sollte unterlassen werden.
   
5. Die Integration von Sonderzeichen in Passwörter, sofern vom jeweiligen Dienst erlaubt, kann die Sicherheit weiter erhöhen.
   
6. Die Weitergabe von Passwörtern, auch an vermeintlich vertrauenswürdige Dienste oder im Rahmen von "Klaut"diensten, sollte unterbleiben.
   
7. Achten Sie bei der Erstellung neuer Passwörter darauf, dass diese nicht schwächer sind als Ihre bisherigen.

Die Nutzung von Passwortmanagern hat sich als praktische Lösung für die sichere Verwahrung von Passwörtern etabliert. Jedoch ist bei der Auswahl eines solchen Dienstes Vorsicht geboten, da nicht alle Anwendungen benutzerfreundlich sind, einige eine Internetverbindung erfordern, monatliche Kosten verursachen oder mit Spyware sowie Analyticsdiensten verseucht sein können.

Einige der auf dem Markt verfügbaren Passwortmanager sind in der Vergangenheit kompromittiert worden, was zu einem unautorisierten Zugriff auf gespeicherte Passwörter führte. Diese kompromittierten Daten finden oft ihren Weg in Untergrundforen, wo sie gegen eine Gebühr angeboten werden. Verwendete Programme sollten daher regelmäßig überprüft werden um das Risiko eins Datenlecks zu minimieren.

Es empfiehlt sich auch Open-Source-Software zu bevorzugen, da deren Quellcode eingesehen werden kann und sie eine transparentere Alternative zu proprietärer Software darstellt.

Eine weitere Alternative zur Erstellung eines sicheren Passworts sind Passwortgeneratoren. Es gibt einige dieser Werkzeuge als Offlineversion als auch in Open Source. Ein Beispiel wäre das Programm PWGen (jetzt Password Tech). Auch bereits genannte Passwortmanager besitzen oftmals eine Funktion um Passwörter zu generieren.

Passwortgeneratoren bieten eine weitere Möglichkeit zur Erstellung sicherer Passwörter. Es gibt sowohl Offline- als auch Open-Source-Versionen dieser Werkzeuge, wie zum Beispiel das Programm PWGen (jetzt Password Tech). Viele Passwortmanager verfügen zudem über eine Funktion zur Generierung von Passwörtern, was ihre Nützlichkeit weiter erhöht.

Sichere Passwörter sind ein entscheidender Schutz gegen Brute-Force-Angriffe bei denen Angreifer versuchen durch automatisiertes Ausprobieren aller möglichen Passwortkombinationen Zugriff auf Konten zu erlangen. Um ein Passwort vor solchen Angriffen zu schützen sind zwei Hauptfaktoren zu berücksichtigen: Komplexität und Länge.

Komplexität: Ein sicheres Passwort sollte eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Diese Vielfalt erschwert es Angreifern das Passwort durch Brute-Force-Methoden zu knacken da die Anzahl der möglichen Kombinationen exponentiell mit jedem zusätzlichen Zeichensatz wächst.

Länge: Die Länge des Passworts ist genauso wichtig wie seine Komplexität. Ein längeres Passwort erhöht die Anzahl der möglichen Kombinationen dramatisch. Experten empfehlen heutzutage Passwörter mit mindestens 12 bis 16 Zeichen. Längere Passwörter bieten noch mehr Sicherheit.

Beispielpasswörter

Ein längeres Passwort erhöht die Entropie, was ein Maß für die Unvorhersehbarkeit oder Zufälligkeit ist. Je höher die Entropie, desto schwieriger ist es für einen Angreifer das Passwort zu erraten oder mithilfe von Brute-Force-Methoden zu knacken.

1. Abschalten von Makros z.b. in Office. Dass ist wichtig wenn fremde Anhänge in Mails angeklickt werden sollten (allgemein von abzuraten)
   
2. PDF Dateien oder andere Dateien nie direkt öffnen. Auch nicht im Browser. Erst scannen.
   
3. Dateianhänge niemals automatisch speichern. Immer nach Verzeichnis fragen lassen und manuell bestätigen. Natürlich das Scannen nicht vergessen ;]
   
4. Remoteunterstützung deaktivieren
   
5. Links nicht einfach anklicken sondern kopieren und ggf. erst über eine Suchmaschine Ergebnisse anzeigen lassen. Das gilt vor allem für Steam. Viele Anbieter betten zudem noch Weiterleitungen, Trackingpixel oder sonstigen Mist mit in ihre Links ein. Wieder ist Steam mit Vorsicht zu genießen..
   
6. Deaktiviertes Javascript im Browser kann manchmal viel verhindern (z.b. Noscript, Ublock & Co wer Addons nutzt)
   
7. Firewall/Anti-Vir Lösungen und gepflegte Filterlisten für Ip-Adressen, hosts oder Pi-Hole können einem ebenfalls den Hintern retten
   
8. Wer die Möglichkeit hat, kann über die Änderung der Gruppenrichtlinien (in Windows) das eigene System weiter abhärten. Dies ist nur für Leute empfohlen die sich damit auskennen.

Wichtig ist es vor allem auch in Bezug auf E-Mail Anhänge sich die Dateiendungen anzeigen zu lassen. Leider schafft es Microsoft schon seit Jahren nicht, diese ohne manuelle Änderung der Optionen anzuzeigen.



Wird eine Datei z.b. "Rechnung.pdf.exe" in einem Mailanhang gespeichert, ist im Explorer nur ein "Rechnung.pdf" zu sehen. Wird die Datei daraufhin geöffnet, kann bösartiger Code als "Executable" ausgeführt werden.

Daher ist empfohlen, sich Dateiendungen immer anzeigen zu lassen.

Im Hinblick auf die Diskussion um Anti-Virus-Software, die oft als "Schlangenöl" kritisiert wird – ein Begriff, der Software bezeichnet, die einen Nutzen nur vorgibt –, ist es von Bedeutung, einen kritischen Blick auf die Sicherheitsversprechen diverser Unternehmen zu werfen. Verbraucher sollten sorgfältig abwägen, inwieweit sie diesen Firmen ihr Vertrauen schenken und sich zu jährlichen Abonnements verpflichten.

Praktiken einiger bekannter Firmen werfen Fragen in Bezug auf den Datenschutz auf. Ein Beispiel hierfür ist Avast Software s.r.o.[gameindustry.eu], bei der Nutzerdaten nicht sicher sind. Eine Situation, die trotz einer offiziellen Entschuldigung des CEO und versprochener Änderungen weiterhin für Bedenken sorgt. Vor allem da Avast-Software auf vielen Geräten vorinstalliert ist und sich seit dem Datenskandal nichts getan hat.

Ähnliche Vorwürfe treffen auf Unternehmen wie Kaspersky Lab und die Microsoft Corporation[www.gameindustry.eu] zu, letztere mit ihrem Dienst Smartscreen[gameindustry.eu].

Diese Unternehmen beladen ihre Software mit Telemetrie und Trackern, die jede Aktion der Nutzer aufzeichnen, und gehen sogar so weit, Dateien von Endgeräten zu "stehlen", zu löschen oder zu modifizieren, die ihren Interessen entgegenstehen könnten. Ein weiteres Beispiel ist Malwarebytes[gameindustry.eu] die Kunden durch vorsätzliche Fehlalarme in falscher Sicherheit zu wiegen und selbst Daten von Endgeräten stehlen.

Diese Beispiele verdeutlichen die Notwendigkeit für Verbraucher, Profitinteressen der Anbieter kritisch zu hinterfragen. Dafür ist es entscheidend bewusst im Internet zu agieren, nicht unüberlegt auf unbekannte Links zu klicken und sich der Tatsache bewusst zu sein, dass solche Programme nur bedingt Schutz bieten können.

Die Informationen im Mailheader bzw. der Kopfzeile zu überprüfen können einen entscheidenen Hinweis auf Echtheit von E-Mails geben. Selbst Nutzer mit wenig Fachwissen sollten in der Lage sein diese Daten zu Rate ziehen. Vor allem werden keine zusätzlichen Programme wie Addons benötigt.

Optional hilft es auch, sich Daten aus dem Header zu kopieren und in einer Suchmaschine nach Wahl zu überprüfen. Mit jeder gefundenen Information lässt sich auch der eigene Wissensschatz erweitern.

Das beschriebene Vorgehen lässt sich auf alle E-Mails übertragen. Sei es von eigenen Kontakten, Post von der Hausbank, vermeindlichen Inkassoschreiben oder Mahnungen, Plattformen wie Amazon oder wem auch immer.

Der berühmte verbleibende Rest ist wirklich verhaltensabhängig und ich hoffe dass ich mit ein paar Tipps und Anregungen etwas Licht ins Dunkle bringen konnte.