Von Phishern lernen

Viel lernen kann der Homebanking-Auftritt von den E-Mails der Betrüger, die von ahnungslosen Kunden deren Kontaktdaten erhalten wollen.

Seit Tagen erhalte ich etwa von einem Deutsche Bank-Phisher wunderbare E-Mails, die sich elegant an den Auftritt des Betrogenen anpassen:
1. Das Logo ist eindeutig und vertrauensvoll platziert, die Farben sind CI-gerecht eingesetzt.
2. Die Emotion wird sehr klug gesteuert: "Immer" wird dreimal wiederholt, "neu" zweimal. Dabei wird die Sicherheit zum dauerhaften Zustand stilisiert und die Innovationskraft der Banken zum Innovationszentrum bravo. Besonders hübsch: Die Gefahren werden durch die Wortwahl und die Verniedlichungen heruntergespielt.

Zum Glück verheddert sich der wirklich gute Texter am Ende und verwirrt den Kunden damit, was er denn nun tun soll: "das System richtig laufen zu lassen" - hier wieß man genausowenig, was gemeint sein könnte, wie bei der Aufforderung "das Sicherheitssystem richtig einzuschätzen".

Auch in der Nachfolgemail werde ich auf ein Kontaktformular weitergeleitet, die E-Mail mit "de"-Adresse kommt dreisterweise sogar von einer bei der Denic registrierten Adresse.

Besonders gemein: Die E-Mail wurde mit einem Absender mit @deutschebanc.de abgesandt. Über die Denic lässt sich der Halter natürlich ganz einfach ermitteln:

Domaindaten

Domain:	deutschebanc.de
Letzte Aktualisierung:	29.05.2002

Domaininhaber

Der Domaininhaber ist der Vertragspartner der DENIC und damit der an der Domain materiell Berechtigte.

Name und Adresse:	Francisco Goncalves Ruhrstrasse 1 58300 Wetter DE

Ein Anruf bei Francisco Goncalves brachte rasch die Aufklärung: Auch er wurde betrogen, weil der Phisher seine Domain einfach verwendet hatte, die Rück-E-Mail geht ins Leere.

Herzliches Unwillkommen-Sein

Starten wir auf den Startseiten. Mit blinkenden Pfeilen, Warndreiecken und rotumrandeten Hinweisschildern fangen viele Online-Redakteure trickreich den ersten Blick beim Besuch der Homepage ein. Warum? Um Texte wie diesen in das Bewusstsein der Besucher zu hämmern:

Warnung: Datendiebe fordern zurzeit Kunden von Volksbanken Raiffeisenbanken auf, über eine gefälschte Internet-Adresse persönliche oder vertrauliche Daten wie Kunden- oder Kreditkartennummern und PIN/TAN preiszugeben. Diese Angriffe werden als "Phising" bezeichnet. Wir raten Ihnen dringend, derartige Mails zu ignorieren. Falls Sie Ihre Daten bereits weitergegeben haben, wenden Sie sich bitte umgehend an unsere OnlineBanking-Hotline Tel. 08671/505-190.

Zuzätzliche Gefahren stellen die sog. "Trojaner"-Programme dar, die unter Umständen sicherheitsrelevante Daten ausspionieren und an die kriminellen Programmierer des Trojaners weiterleiten. Wie eine Studie des BSI zeigt surfen die Deutschen zu sorglose: "Jeder vierte surft ohne Virenschutz!"

(Beispiel: Volksbank Raiffeisenbank Altötting Mühldorf , der Heimatregion von Papst Benedikt XVI):

Eine kleine Fehleranalyse:

1. Die Sprache: Viel zu kompliziert und langatmig! Ich habe den ersten Satz zweimal gelesen, um zu wissen worum es geht. "Zurzeit" ist ein echtes Stopper-Wort. Sprachlich interessierte Besucher der Seite grübeln, ob es wohl richtig geschrieben ist, freuen sich so ein Wort mal wieder zu sehen, lesen aber in jedem Fall nicht weiter. Verlorene Leser!

Besser: Kurze, verständliche Sätze mit einfachen Worten.

2. Die Ansprache: Der Text beginnt wie eine Zeitungs-Nachricht ("Datendiebe fordern") geht dann zum Nutzwert-Journalismus über ("als Phishing bezeichnet"), um schließlich da zu enden, womit es beginnen müsste: Mit der persönlichen ASnsprache, mit der persönlichen Beziehung zwischen dem Besucher und seiner Bank. Verschenkte Beziehung!

Besser: Direkte Ansprache im ersten Satz.

3. Die Emotion. Warnung, Diebe, Fälschung, Angriffe, Spionage, kriminelle Programmierer! Oh, weh, zur Hilfe! Die heimliche Botschaft dieser liebgemeinten Aussage verkehrt den Sinn der Warnung ins Gegenteil: Das Internet ist ja so gefährlich! Und nicht nur, dass ich mit Phishing ausspioniert werde, es lauern ja auch noch Trojaner - das durchschaue ich nicht mehr. Am besten ich lasse das Homebanking derzeit sein und gehe selbst in die Bank und treibe die Beratungskosten meiner Bank mit Überweisungen in die Höhe.

Besser: Gut geschützt mit Ihrer Bank - 10 neue Tipps gegen Betrüger.

Bei aller Liebe zur Sicherheit: Ein Online-Auftritt ist ein Marketing- und Vertriebsinstrument, eine Plattform für dauerhafte Kundenbeziehungen. Wehren Sie sich in den Redaktionsmeetings (was war das noch mal?) gegen neurotische Netzwerkpfleger und alarmierte Administratoren und formulieren sie positiv! Es gibt ohnehin keinen perfekten Schutz. Aber wenn es einen gibt, dann doch bei Ihrer Bank, oder nicht?