Erstberatung kostenlos

Rufen Sie uns an: 09763 / 93 00 009

News

- ein sicherheitsrelevanter Beitrag der Forensischen Linguistik

1. Gibt es sprachlich perfekte Phishing Mails?

Die COVID-19-Pandemie eröffnet Internetbetrügern neue, bisher noch ungeahnte Zugangsmöglichkeiten zu ihren Opfern. Für die Cyberkriminellen fallen dabei, wie Sicherheitsexperten es mit einem Anflug von Sarkasmus formulieren, Weihnachten, Ostern und Pfingsten zusammen. Dabei ist der Höhepunkt der E-Mail-Plage mit Schadsoftware noch gar nicht erreicht.

Phishing-Mails mit verschiedenen Inhalten kursieren weltweit und es werden ganze Webseiten, wie die des Wallstreet Journals (WSJ) oder des NRW Wirtschaftsministeriums, gefälscht oder Antragsformulare auf Corona-Soforthilfen oder auf Familien- und Krankenurlaub scheinbar täuschend echt kopiert.

Neuerdings melden auch angesehene Quellen, dass diese neue Generation schädigender E-Mails frei von sprachlichen Mängeln sei, an denen frühere Betrugstexte von Cyberkriminellen noch leicht zu erkennen gewesen seien.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt: Anders als noch vor einigen Jahren weisen viele Phishing-Mails in-zwischen keinerlei sprachliche Mängel mehr auf. […]

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/Phis-hing_E-Mails_erkennen/wie-erkenne-ich-phishing-e-mails_node.html

Und bei Heise heißt es zu einer noch forensisch-linguistisch zu prüfenden Phishing-Mail unter Bezug auf die Sparkasse: Dank des Sparkassen-Logos und der einwandfreien Rechtschreibung und Grammatik wirkt die E-Mail recht überzeugend […] (Referenz unten)

Grund genug, einmal den Fokus des Sprachprofilings auf diesen Cybercrime-Delikttyp und Exemplare dieser Textsorte einer Forensischen Textanalyse zu unterziehen.

  • Können diese zahlreichen Betrüger, oder zumindest einige von diesen, tatsächlich sprachlich einwandfreie Texte formulieren?
  • Oder scheitern auch diese Cyberkriminellen, wie bereits anonyme Schmäher, Verleumder oder Erpresser, bei dem hochkomplexen Vorgang der Texterstellung?
  • An welchen schriftsprachlichen Merkmalen lassen sich Phishing-Texte erkennen?

 

2. Zugriffsweisen auf Betrugs-Mails durch Sprachprofiling

Um diesen Fragen nachzugehen, unterscheiden wir ganz grob drei Levels der Forensischen Textanalyse:

  • Level 1: Einfacher Textoberflächen-Check

Für den einfachen Check von Formatierung, Rechtschreibung und Sprache genügen Detailorientierung und ein gesunder Menschenverstand.

  • Level 2: Textanalytischer Oberflächencheck

Dieser Check verlangt die Kompetenz eines Sprachanalytikers, etwa eines Deutschlehrers.

  • Level 3: Textauswertung und Autorenbestimmung unter Nutzung des Repertoires des Sprachprofilings

Für diesen Check sind Eignung, ein Linguistik-Studium, eine abgeschlossene Spezialausbildung und eine langjährige Erfahrung erforderlich.

Die schriftsprachliche Fake-Qualität der Mails von Cyberkriminellen kann nach drei forensisch-linguistischen Kriterien beurteilt und sodann pro Kriterium und insgesamt mit Schulnoten bewertet werden

Fake-Qualität gemäß Sprachprofiling nach Drommel

  1. Sprachqualität nach systemlinguistischen Erkenntnissen geprüft auf den Ebenen der linguistischen Differentialanalyse
  1. Aussageverhalten
    • Themenspezifizität: Beitrag passt zum Thema
    • Thematisches Gleichgewicht: eigentliches Thema adäquat abgehandelt
    • Widerspruchsfreiheit und logische Konsistenz
    • Vermeidung von Strukturbrüchen
    • Keine überflüssigen Details – richtige Erfassung von Merkmalen
    • Einhaltung der Konversationsmaximen nach Paul Grice
    • Effizienz von psychologischen Mitteln wie emotionalen Appellen (schon übergreifend)
  1. Matching-Qualität/Kompatibilität mit echten Texten der kopierten Quelle (Originalaffinität, Wirklichkeitsnähe)

Die merkmalsorientierte Inhaltsanalyse im Rahmen aussagenpsychologischer Begutachtung folgt im Kern der so genannten Undeutsch-Hypothese meines Lehrers Udo Undeutsch, wonach sich wahre von falschen Aussagen anhand inhaltlicher Merkmale unterscheiden lassen. Statt der Kalibrierung des Basisverhaltens der kriminellen Autoren (mangels Vergleichsmaterial von diesen) erfolgt der sprachsystematische Abgleich mit den gefälschten originären Quellen und den von diesen erzeugten Texten. Bei Texten als linguistischem Objekt ist dieses aussagenpsychologische Instrumentarium jedoch gemäß Adäquatheit und Widerspruchsfreiheit mit textwissenschaftlichen und textlinguistischen Konzepten abzugleichen und durch diese zu ergänzen und im Einklang mit diesen zu operationalisieren.

Um den forensisch-linguistischen Ausgangsfragen nachzugehen, wählen wir zwei typische Phishing-Mails dieser Corona-Generation von Scam-Texten aus, die der gelungene Heise-Beitrag vom 23.03.2020, der Autorin Olivia von Westernhagen – https://www.heise.de/security/meldung/Vorsicht-Corona-Phishing-Aktuelle-Mails-setzen-auf-Angst-und-Verunsicherung-4686393.html – enthält. Die erste Spam-Mail missbraucht die Marke der World Health Organization (WHO), die zweite die der Sparkasse.

 

3. Forensische Textanalyse zweier krimineller E-Mails

3.1. Mitteilung der WHO

Auffälligkeiten der Formatierung und der Schreibung sind bereits beim Level 1-Check leicht zu identifizieren.  Selbst Nicht-Englisch-Sprecher werden bei gründlichem Betrachten der Fake-Nachricht der WHO die vom linken Rand leicht eingerückte Betreff-Zeile Corona-virus updates (Z. 1) erkennen und bemerken, dass die die letzten drei Zeilen kleiner und in einer anderen Schriftart (Times New Roman) geschrieben sind als der Vorgänger-Text. Auch weniger versierten Englisch-Sprechern wird auffallen, dass die Nomina „kids“, „eyes“ und „nose“ stellenweise, abweichend vom übrigen Text, groß geschrieben werden: […] to keep Kids and business centre safe (Z. 7) vs. to protect children and business centre (Z. 6); 2. Avoid touching Eyes, Nose and mouth (Z. 15) vs. to your eyes, nose or mouth (Z. 17).

Der Titel des zum Download angebotenen Corona-virus E-Books wird in demselben Text verschieden geschrieben: (My-health) (Z. 4) vs. My Health E-Book (Z.10), My Health Zip file (Z. 20).

Englisch-Sprecher bemerken die normabweichende Schreibung Corona-virus statt coronavirus. Der Abgleich mit den Meldungen der WHO ergibt, dass die WHO sowohl auf ihrer Webseite als auch in ihren Pressemitteilungen ebenfalls Schreibung coronavirus verwendet.

Schließlich werden beim Level 2-Check Englisch-Sprechern die Verknüpfung der Alternativen in the complete research/origine of corona-virus (Z. 4) mit Schrägstrich und die ungewöhnliche Kombination children and business centre (Z. 6) oder Kids and business centre (Z. 7) als direkte Objekte eines Verbums des (Be-) Schützens zumindest seltsam vorkommen. Statt dieser Paare würden „Kinder und Jugendzentren“ oder „Einzelunternehmen und Geschäftszentren“ zusammenpassen. Die Absicht des Verfassers war es, zwei Schwachstellen zu verknüpfen: Familien sorgen sich sehr um Ihre Kinder und Großunternehmer um ihre Geschäftszentren.

Der klarste Lapsus unterläuft dem Autor dann aber am Ende des Textes in Form eines groben, komplexen Kongruenzfehlers in dem Kausalsatz […] because your live count as everyone lives count. (Z. 21) statt – richtig – […] because your live count’s as everyone’s live counts.

Aussage-Qualität und Care-Faktor dieser Pandemie-Betrugs-Mail sind beeindruckend. Es wird, durchaus geschickt, eine bereits allgemein bekannte Empfehlung wiederholt, Augen, Nase und Mund nicht zu berühren (Ziffer 2) und in Form individueller Hygiene- maßnahmen in Verbindung mit Atmen, Husten und Niesen walten zu lassen (Ziffer 3).

Geradezu meisterhaft ist jedoch der Hinweis an zweiter Stelle, das angepriesene E-Book könne auch bei der nationalen oder lokalen Gesundheitsbehörde erworben werden (Ziffer 2).

Weitere Analysen und ein Autorenprofil folgen dann im Level 3-Check. Auf Level 3 werden auch eine Glaubhaftigkeitsprüfung und eine Bewertung der Fake-Qualität vorgenommen, deren Ergebnis folgendermaßen ausfällt:

Fake-Qualität der WHO-Phishing-Mail

  1. Sprachqualität Schulnote: 4
  2. Aussageverhalten Schulnote: 2-
  3. Matching-Qualität zur WHO Schulnote: 3-

Diese WHO-Phishing-Mail erhält für Ihre überdurchschnittliche Fake-Qualität die Schulnote: 3-.

Spannend sind auch die durch ein Autorenprofil zu liefernden Hinweise auf den Autor dieses Texts. Ein solches Profil habe ich noch nicht angefertigt. Tendenzen lassen sich jedoch bereits anführen.

Angesichts der Nutzung anderer, insbesondere seriöser Quellen durch Copy & Paste ist die Bestimmung der Anzahl der Autoren zusätzlich erschwert. Wie bei anderen Delikttypen auch agiert aber selbst in einer kriminellen Gruppe meistens nur eine Person als ‚Schriftführer‘. Vorbehaltlich einer textlinguistischen Konsistenzprüfung gehen wir daher bei der Autorenbestimmung zunächst von einer Einzelperson als Verursacher aus. Diese Person ist mit hoher Wahrscheinlichkeit ein Mann, da vorwiegend Männer diese Straftaten ausüben und es in diesem Text auch keine Merkmale gibt, die gegen Männersprache (engl.: Report Talk) sprechen. Hinsichtlich der Muttersprache dürfen wir uns nicht dadurch täuschen lassen, dass auch viele Native Speaker des Englischen ihre Muttersprache in Wort und Schrift schlecht beherrschen. Daher muss noch ein gründlicher Muttersprach-Check erfolgen. Ferner schreibt der Textproduzent dort, wo es gelingt, UK-Englisch (centre, Z. 6, 7) und kein US-Englisch (center), was ein erster Hinweis auf seinen Spracherwerb und seine Lokalisierung sein könnte.

 

3.2      Post von der Sparkasse

In der deutschen Betrugs-Mail mit dem Label der Sparkasse ist bereits die unpersönliche Anrede der Fake-Klassiker: Allerdings gibt es auch viele Beispiele, in denen Sie von Betrügern persönlich mit Ihrem richtigen Namen angesprochen werden. Deshalb sollten Sie auch bei richtiger persönlicher Anrede noch misstrauisch sein. Am Textende springt detailorientierten Betrachtern des Texts gewiss auch ein Punkt

nach der Firmierung (Z. 20) ins Auge, der dort auch für Schreiber ohne Kenntnis der DIN 5008 nicht hingehört.

Ziehen Sie doch bei Ihrem Level 1-Check einer unaufgefordert erhaltenen ‚Corona-Mail‘ und erst recht für einen Level 2-Check gemäß der Forensischen Textanalyse gerne eine Person aus Ihrem Freundeskreis zu Rate. Im Idealfall ist sogar eine Deutsch-Expertin oder eine Deutsch-Experte darunter. Diese Freundin oder dieser Freund wird feststellen, dass Interpunktion und Orthografie dieses Texts einwandfrei sind.

Genderspezifische Differenzierung ist für Sparkassen übrigens auch kein Thema. Insofern spräche der Gebrauch der unmarkierten Form (unserer Mitarbeiter, Z. 2) durchaus für Authentizität.

Kommen wir zu den grammatischen Mängeln dieser Schadsoftware transportierenden Mail..

Da das Verbum liegen mehrere Subjekte hat (Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter […]) hätte die 3. Person Plural liegen in: […] liegen uns sehr am Herzen). gewählt werden müssen (Z. 2 - 3).

Das Adverb da und die Präposition für können zu dem Adverb dafür verknüpft werden, um auf Vorinformation im Text zu verweisen, wie etwa in dem folgenden Beispiel: Wir haben unsere kleineren Filialen bis auf weiteres geschlossen. Den Grund dafür bildet der verantwortungsvolle Umgang mit dem COVID-19-Erreger. In dieser Textposition geht es jedoch um den Vorverweis auf eine nachfolgende Infinitivkonstruktion, so dass gänzlich auf diese kataphorische Proform verzichtet werden kann oder aber das Adverb dazu gewählt werden muss (Z. 4): Vor diesem Hintergrund haben wir uns dazu entschieden […]. Wir entscheiden uns für eine Sache, aber dazu, etwas zu tun.

Während Textkohäsion (grammatisch-syntaktischer Zusammenhang an der Textoberfläche) zwischen dem ersten und dem zweiten Absatz noch durch die Präpositionalphrase Vor diesem Hintergrund hergestellt wird, fehlt dieser textgrammatische Bezug zwischen dem zweiten und dem dritten Absatz. Hier wäre etwa ein adversatives Adverb wie jedoch oder hingegen einzufügen: Sehr gerne stehen wir Ihnen jedoch telefonisch […] zur Verfügung (Z. 6). Statt eines gegensätzlichen oder kontrastiven Bezuges wäre auch ein kausal-konzessiverer Zusammenhang durch ein entsprechendes Adverb wie dennoch oder gleichwohl vertretbar.

Solche Kohäsionsmängel treten auch häufig an Nahtstellen zwischen Absätzen auf, die aus verschiedenen Zusammenhängen stammen.

Ich breche hier ab. Schließlich wollen wir nicht möglichen Tätern ohne Not zu viele Erkenntnisse vermitteln oder Ihnen wichtige Hinweise geben.

Das Textklima ist positiv, und der Tenor der „Sparkasse“ ist recht gut getroffen. Da mag man darüber hinwegsehen, dass der „Sparkassenverband“ in der Firmierung allgemein und nicht korrekt als „Deutscher Sparkassen- und Giroverband – DSGV“ erscheint. Eine Spezifizierung, etwa in Form von „Sparkassenverband Bayern“, würde die Zielgruppe unerwünscht stark einschränken. Der Leser wird bereits mit dem ersten Satz emotional abgeholt und erhält am Textende einen vorweggenommenen Dank. Es wird an den Gemeinschaftssinn und an das Solidaritätsgefühl appelliert.

Wie bereits die englische, angeblich von der WHO stammende Phishing-Mail erzeugt auch diese Betrugs-Mail einen hohen Zustimmungszwang beim Leser.

Fake-Qualität der Sparkasse-Phishing-Mail nach

den drei Check-Kriterien des Sprachprofilings

  1. Sprachqualität:                                     Schulnote: 3
  2. Aussageverhalten: Schulnote: 3+
  3. Matching-Qualität zur Sparkasse Schulnote: 3

Diese Phishing-Mail erhält für Ihre Fake-Qualität insgesamt die Schulnote: 3+. Sie hat nicht nur eine deutlich bessere Sprachqualität als die WHO-Mail des sich in englischer Sprache versuchenden Kollegen, sondern ist auch deutlich ausgewogener.

Für die Autorenbestimmung, zunächst in Form eines Autorenprofils, bietet der Text eine zureichendes forensisch-linguistisches Auswertungsobjekt.

Es spricht nichts gegen eine männliche Einzelperson mit Deutsch als Muttersprache. Diese ist kommunikativ geschickt und bemüht, rhetorische Mittel einzusetzen. Interpunktion und Orthografie beherrscht sie gut. Auf einer längeren Textstrecke könnte sie jedoch einige grammatische oder auch idiomatische Mängel offenbaren.

 

4. Fazit und Ausblick

Vor dem Hintergrund der Pandemie folgen viele dieser schädigenden Nachrichten zwar dem bekannten Tatmuster, haben aber eine ganz neue spezifische Qualität, die uns Sicherheitsexperten zu einer Differenzierung oder Erweiterung unserer präventiven Checklisten führen muss.

Was ist neu?

Um höhere Glaubhaftigkeit zu erlangen, werden „Dichtung und Wahrheit“ gekonnt miteinander verknüpft – ein seit der Antike bekanntes Lügenmuster. Teilweise werden jedoch, viel gelungener als je zuvor nach dem klassischen Rezept der Lügenliteratur, dem bekannten Plot der falschen (unglaubhaften) Anschuldigungen oder der Rezeptur sehr geschickter Fake-Bewertungen, in der Textbasis der Botschaften wahre mit falschen Aussagen vermischt. Nachdem der Wahrheitsgehalt eines Teils der Aussagen dem Leser offenkundig wird, soll er in einem Pars-pro-toto-Schluss auf den Wahrheitsgehalt der ganzen Aussage schließen. Zu diesem Zweck werden aus anderen, seriösen Quellen durch Copy & Paste herausgezogene Empfehlungen, die weder inhaltlich noch sprachlich zu beanstanden sind, mit den betrügerischen Abweisungen vermischt. Daher sind die authentischen Anteile mit höherer Wahrscheinlichkeit fehlerfrei.

Es wird auf Autoritäten (Autoritäten-Rekurs) oder auf persönliche Freunde, Verwandte oder Arbeitskollegen verwiesen oder es wird öffentlich zugängliche Information seriöser Quellen in den Text eingefügt. Dazu zählen bekannte Präventions-Empfehlungen zum Schutz vor COVID-19 (WHO-Fake) oder die tatsächliche Schließung einiger Sparkassen-Filialen (Sparkassen-Fake). Somit gilt für den WHO-Fall: Präventions-Maßnahmen gegen COVID-19? – Ja. Download des My Health Ebooks? – Nein. Und für den Sparkassen-Fake: Schließung kleinerer Filialen? – Ja. Annahme des in dieser Form angebotenen Online-Bankings? – Nein.

Der Angstfaktor spielt innerhalb des gegebenen Framings eine wichtige Rolle und es wird, mehr oder weniger gekonnt, an die kollektiven Sorgen und Ängste der Empfänger angeknüpft, wobei auch das kollektive Unterbewusstsein (Jung) angesprochen werden mag. Es werden unter dem Deckmantel der Fürsorge echte Anliegen vorgetragen und emotionale Appelle, Sicherheit, Selbstschutz und Solidarität betreffend, an die Empfänger gerichtet. Die Corona-Krise gestattet viele Möglichkeiten, auf der Klaviatur der menschlichen Motive und Gefühle zu spielen.

Es werden nicht nur authentische Botschaften und echte Informationen mit Fake-Nachrichten und Aufforderungen verknüpft, sondern es werden auch echte Anliegen, Empathie und Fürsorge mehr oder weniger gelungen eingewoben.

Die Sprache ist zwar in diversen dieser Cybercrime-Texte deutlich verbessert, aber alles andere als fehlerfrei. Es wird auch den neuen Phishing-Autoren nicht gelingen, sprachlich einwandfreie Texte herzustellen. Ganz im Gegenteil: Beim Abfeuern der Tatwaffe Sprache kann der Rückstoß dem Schützen zum Verhängnis werden. Die sprachlichen Kundgaben bleiben nach wir vor die Schwachstellen der Kriminellen und dankbare Objekte für die Forensische Textanalyse, die linguistische Autorenbestimmung und das Sprachprofiling nach Drommel.