Das Problem ist, dass eine Reihe von Unterschrifts- und Anwaltsgebühren bezahlt werden muss, bevor er das Geld legal überweisen kann. Also schickt er Ihnen eine E-Mail mit einem Angebot: Wenn Sie ihm das benötigte Geld (ca. 20-30000) schicken können und die Banküberweisung mit unterzeichnen, lässt er Ihnen 30 % vom Vermögen seines Vaters zukommen: 9,6 Millionen Dollar.
Es sollte wenig überraschend sein, dass er glücklich Ihr Geld nehmen und sich nicht mehr bei Ihnen melden würde, wenn Sie auf sein Angebot eingingen. Dies wird als 419-Betrug bezeichnet und ist eine der bekanntesten Versionen eines Phishing-Betrugs.
... Deshalb sehen Sie es fast nicht mehr.
Was ist Phishing?
Phishing ist, abgesehen davon, dass sich das Wort großartig für Wortspiele rund um Fische eignet, im Prinzip jeder Versuch, Leute über eine E-Mail zu betrügen. Das Motiv kann vielfältig sein: Leute dazu zu bringen, Geld zu schicken, vertrauliche Informationen herauszugeben oder einfach nur Malware unwissentlich herunterzuladen. Die Urheber dieser Angriffe setzen Lügen, Tricks, Fälschungen und regelrechte Manipulation ein, damit sie erfolgreich sind. Aus diesem Grund ist Phishing sogenanntes Social Engineering: eine Art von Angriff, dessen Erfolg eher auf menschliche Fehlbarkeit als auf Hardware- oder Softwarefehler zurückzuführen ist.
Phishing ist der Versuch, jemanden zu betrügen, in der Regel per E-Mail
Nichtsdestoweniger gilt: Da es bei den meisten Phishing-Angriffen darauf ankommt, dass Sie auf dubiose Links klicken, um Malware herunterzuladen oder auf gefälschten Websites zu landen, schützt ein gutes Antivirus-Programm Sie sogar vor den raffiniertesten Fälschungen.
AOL ist an allem schuld
Solange es Sprache gibt, belügen und betrügen sich Menschen. Daher ist Phishing in vielerlei Hinsicht die älteste Cyberbedrohung der Welt. Der Begriff „Phishing“ tauchte jedoch erstmals am 2. Januar 1996 in der Usenet-Newsgroup namens AOHell auf, in der über das Aufkommen von Betrügern und Lügnern auf America Online gesprochen wurde. Das Wort ist offensichtlich vom Begriff „fishing“ inspiriert, da es darum geht, jemanden mit einem Köder in eine Falle zu locken, aber das Ersetzen des „f“ durch ein „ph“ verweist auf einen anderen alten umgangssprachlichen Begriff: „phreaking“, das Untersuchen, Erkunden und Sezieren von Telekommunikationssystemen. Das „ph“ wurde entliehen, um die Betrügereien mit der dunklen, schäbigen Schattenseite der Phreaking-Community (damals „Warez-Community“ genannt) zu verbinden, aus der sie stammten.
Die allerersten Phishing-Attacken stammten von Benutzern, die sich als AOL-Mitarbeiter ausgaben und die Leute aufforderten, ihre Rechnungsadresse beim Unternehmen zu bestätigen. Da dies passierte, bevor Phishing bekannt wurde, und sich Unternehmen noch nicht an die gleiche Strenge wie heute gehalten haben, fielen die Leute häufig auf diese Art von Betrug herein. AOL wurde schließlich das erste Unternehmen, das seine Benutzer warnte, dass es niemals solche Informationen per E-Mail verlangen würde, aber bis dahin war der Schaden bereits angerichtet. Die Durchführbarkeit von Phishing-Angriffen war bewiesen und es gab kein Zurück mehr.
Alle coolen Kids tun es
Ransomware sorgt vielleicht für Schlagzeilen, aber Phishing-Angriffe sind bei Weitem die gängigste und am häufigsten erfolgreiche Art von Online-Bedrohung. Ihre Verbreitung ist vor allem auf ihre Vielseitigkeit zurückzuführen: Phishing kann sowohl ein Ziel für sich als auch eine Bereitstellungsmethode für andere Angriffe sein. In Kombination mit der Tatsache, dass Benutzer immer noch jeden Tag darauf hereinfallen, haben Hacker keinen Grund, daran etwas zu ändern.
Hier sind einige konkrete Daten für Sie:
Es ist also wie Spam, nicht wahr?
Obwohl es zwischen Phishing und Spam häufig Schnittmengen gibt, sind beide immer noch sehr unterschiedliche Bedrohungen. Spam umfasst sämtliche unerwünschten oder massenproduzierten E-Mails, mit denen Ihr Posteingang überflutet werden soll, während Phishing ein ebenso spezifisches wie illegales Ziel verfolgt. Bei Phishing-E-Mails kann es sich um Spam handeln, und für den gewöhnlichen Laien wie mich ist es das in der Regel auch. Wenn Sie jedoch zufällig CEO, Geschäftsinhaber oder, sagen wir, Wahlkampfmanager sind, dann ist es sehr gut möglich, dass Hacker einen einzigartigen Phishing-Betrug speziell für Sie erstellt haben, der dann nicht als Spam eingestuft werden könnte.
Ebenso ist Spam lästig, aber an sich nicht illegal oder wirklich „falsch“. Wie viele Dinge im Leben ist Spam genauso gut oder schlecht wie die Leute, die ihn nutzen, und zwar unabhängig davon, ob Sie ein lokales Unternehmen sind, das Nachrichten über seine niedrigen Preise zu verbreiten versucht, oder ein Hacker, der seinen die Welt vernichtenden Supervirus zu verbreiten versucht. Es ist, wie bereits angesprochen ein beliebtes Mittel für Phisher, aber die beiden Begriffe können trotzdem nicht synonym verwendet werden.
Was passiert, wenn ich angebissen habe?
Welche Auswirkungen Betrug über eine Phishing-E-Mail hat, hängt davon ab, was genau der Betrüger von Ihnen möchte. Im Beispiel am Anfang dieses Artikels ist es ziemlich einfach: Es geht um Ihr Geld. Bei einigen dieser Betrügereien wird auch nach „Authentizitätsnachweisen“ gefragt, indem Sie aufgefordert werden, Ihren Personalausweis, Führerschein usw. zu scannen und zu senden. Das könnte bedeuten, dass Ihre Identität gestohlen oder verkauft werden soll. Da diese Arten von Betrug heutzutage jedoch weniger beliebt sind, ist es unwahrscheinlich, dass jemand darauf hereinfällt.
Die häufigeren Phishing-Angriffe sind solche, die Sie dazu zu bringen versuchen, einen Benutzernamen und ein Passwort herauszugeben, entweder über einen Link zu einer gefälschten Version einer für Sie vertrauenswürdigen Website mit der Aufforderung, sich dort anzumelden, oder durch die Aufforderung, Daten per E-Mail zu senden (siehe unten). In diesen Fällen kompromittieren Sie nicht nur speziell das betreffende Konto, sondern riskieren auch, alle Ihre anderen Konten zu kompromittieren, wenn Sie zu den ca. 84 % der Benutzer gehören, die ihre Passwörter wiederverwenden.
Wenn Sie schließlich auf eine Phishing-Attacke hereinfallen, bei der Sie aufgefordert werden, einen bösartigen Anhang herunterzuladen, und Ihr Antivirus-Programm dies nicht verhindert, dann haben Sie einen infizierten Computer. Was als Nächstes passiert, hängt weitgehend vom Zweck der Malware ab. Dies kann alles Mögliche sein, vom Diebstahl Ihrer Daten über Lösegelderpressung bis hin zum Löschen aller Daten. Vielleicht wird Ihr Rechner auch einfach nur zum Schürfen von Bitcoin „ausgeliehen“.
Arten von Phishing-Angriffen
Es gibt viele verschiedene Arten von Phishing-Angriffen, aber alle basieren auf dem gleichen Grundmechanismus: Ausnutzen von menschlichem Vertrauen, Ignoranz oder Apathie, um uns dazu zu bringen, etwas zu tun, das wir wirklich nicht tun sollten.
Spear-Phishing – Jagd auf Stars
Einige Phisher geben sich damit zufrieden, das Geld, die Daten und die Sicherheit von jedem Benutzer zu stehlen, der ihnen ins Netz geht. Andere wiederum haben ehrgeizigere Ziele: Sie suchen sich entweder aus persönlichen, politischen oder finanziellen Gründen für bestimmte prominente Personen als Ziel. Dies wird als Spear-Phishing bezeichnet, weil es präziser ist und oft auf „Whales“ (wörtlich „Wale“) abzielt, also hochrangige Politiker, Prominente und CEOs, die alle Zugang zu wertvollen Daten (und viel Geld) haben.
Spear-Phishing ist ein präziser Angriff auf ein bestimmtes hochkarätiges Ziel wie einen CEO, auch als „Whale“ (Wal) bezeichnet
Indem er einen bekannten Kontakt, einen Mitarbeiter, einen Freund, einen Geschäftspartner oder sogar eine andere Organisation imitiert, sendet der Spear-Phisher sorgfältig gestaltete, gut recherchierte und oft äußerst spezifische E-Mails an seine Ziele. In der Regel besteht das Endziel darin, das Opfer dazu zu bringen, Malware herunterzuladen, die dem Täter Zugriff auf das System gewährt. Ein Benutzername und ein Passwort könnten ihm jedoch auch administrative Befugnisse über das Netzwerk geben, was ebenso katastrophal wäre.
Wenn Hacker einen Spear-Phishing-Angriff auf eine ganze Firma oder Organisation durchführen möchten, versuchen sie wahrscheinlich einen Watering-Hole-Angriff, bei dem die Angreifer der Organisation zu einer häufig genutzten Website folgen (am häufigsten WhatsApp, Facebook oder Slack) und auf diese Weise Phishing-Links aussenden. Diese sind ähnlich wie die weitgehend persönlichen E-Mails, die an Einzelpersonen gesendet werden, in der Regel gut recherchiert und schwer von authentischeren Nachrichten zu unterscheiden.
Aufgrund der starken Personalisierung sind diese Angriffe sind sie ungefähr so erfolgreich wie die alten AOL-Angriffe aus früheren Zeiten und sind die Ursache für 91 % erfolgreicher Hacks gegen Organisationen.
Klon-Phishing – Böse-Zwillinge
Wir alle erhalten offizielle E-Mails von unseren Dienstanbietern, so auch Hacker. Und während wir es für ein Ärgernis oder eine lästige Pflicht halten, sehen sie Chancen. Klon-Phishing bedeutet, dass ein Hacker eine legitime E-Mail von einer vertrauenswürdigen Organisation kopiert, aber einen Link ersetzt oder hinzufügt, der zu einer gefälschten, bösartigen Website führt. Dann versendet er diese E-Mail massenweise und wartet ab, wer auf den Link klickt.
Manchmal führt der Link zu einer infizierten Website, aber heutzutage wird häufiger einfach versucht, Ihren Benutzernamen und Ihr Passwort mit einem gefälschten Anmeldebildschirm zu stehlen. Auf diese Weise können Phisher auf jedes Konto zugreifen, bei dem Sie sich anmelden wollten... und auf jedes andere Konto, das dasselbe Passwort verwendet (daher sollten Sie niemals dasselbe Passwort zweimal verwenden).
Wenn Malware auf Ihrem PC oder Router Sie auf eine gefälschte Website weiterleitet, wird dies Pharming genannt. Ähnlicher Name, aber außer dem Ziel, Zugangsdaten zu stehlen (und dem „Ph“ im Namen) haben diese beiden Angriffe nicht viel gemeinsam.
419-Betrug – der Deal Ihres Lebens
Trotz der Benennung nach dem Abschnitt des nigerianischen Strafgesetzbuchs, der sich mit Betrug befasst, kann ein 419-Betrug von überall auf der Welt kommen. Traditionell und wie bis zur Wertlosigkeit bekannt werden dafür ausgeklügelte Geschichten eingesetzt, um an Ihr Geld zu kommen sowie möglicherweise Ihre persönlichen Daten für einen guten alten Identitätsdiebstahl zu stehlen.
Heutzutage fangen Betrüger als Brieffreunde oder Fernbeziehungspartner an, bevor das „Unglück“ zuschlägt und sie plötzlich Geld brauchen.
In der Vergangenheit waren diese Angriffe wesentlich weiter verbreitet, und die Geschichten beinhalteten gewöhnlich ein Versprechen größerer Belohnungen, wenn Sie einen vergleichsweise geringen Betrag gezahlt haben. Heutzutage werden Ziele meist zunächst als Brieffreunde oder Fernbeziehungspartner kontaktiert, bevor ein „Unglück“ eintritt, der Betrüger plötzlich Geld braucht und die wohltätige Natur seines Opfers ausnutzt. Diese neuen Betrügereien sind dem Phishing sicher ähnlich, aber sie sind technisch gesehen eher „Catfishing“ oder „Spoofing“ näher, daher werden wir hier nicht viel detaillierter darauf eingehen. Aus historischen Gründen ist eine Erwähnung trotzdem angebracht.
Telefon-Phishing – mehr wie PHONE-IES Amirite?
Die meisten Phishing-Angriffe passieren in Ihrem Posteingang. Jedoch nicht alle. Manchmal rufen Phisher an oder senden SMS. Sie geben vor, von Ihrer lokalen Bank oder der Polizei zu sein, und behaupten, dass es Probleme mit Ihrem Konto gibt, die sie klären müssen. Sobald Sie Ihre Kontonummern und Ihre PIN herausgeben, können die Täter Ihr Konto abräumen, was das Gegenteil des Problems ist, das Sie lösen wollten. Dies wird als Telefon-Phishing oder Vishing bezeichnet, was für „Voice Phishing“ (Sprach-Phishing) steht.
Phishing kann auch per Telefon passieren.
Telefon-Phishing ist zwar nicht so erfolgreich wie E-Mail-Phishing, aber auf dem Vormarsch. Fälscher können sich dabei nicht nur als Vertreter Ihrer Bank ausgeben, sondern auch vorgeben, vom technischen Support des Finanzamt oder von einem Versorgungsunternehmen zu sein. Es wirklich nichts ausgeschlossen.
Spezielle Lieferung: Es ist Malware!
Neben dem bereits erwähnten Versuch, Ihre Daten zu stehlen, kann fast jede Art von Phishing eingesetzt werden, um Malware auf ein System zu übertragen. Ein Link kann zu einer kompromittierten Website führen, ein Anhang könnte Malware enthalten. Selbst bei einem Google-Dokument oder einer Tabelle kann es sich inzwischen um Malware handeln, und zwar dank der Zunahme von dateilosen Angriffen – bei denen vertrauenswürdige und sichere Software durch Neucodierung ihrer internen Mechanismen bösartig gemacht wird.
Die Arten von Tricks, die Täter anwenden können, sind mit der Einführung weiterer Geräte und Dienste in unser Leben nur gewachsen. Cyberkriminelle haben irreführende Google Docs-Einladungen, Dropbox-Freigaben, gefälschte Rechnungen, Faxe usw. eingesetzt – alles, was ihnen eingefallen ist, um Sie dazu zu bringen, auf die Datei zu klicken und sie herunterzuladen. Wie bereits erwähnt, sind diese Angriffe so verbreitet und effektiv, dass sie bei Weitem zur Methode der Wahl für die Verteilung von Malware geworden sind und jedes Jahr Millionen von Menschen auf der ganzen Welt dadurch betrogen werden.
Die gute Nachricht ist jedoch, dass Malware Social Engineering nicht dazu nutzen kann, ein gutes Antivirus-Programm zu umgehen. Obwohl also durch Phishing Malware in Ihren Posteingang gelangen kann, kann AVG verhindern, dass sie Schaden anrichtet. Aber eins nach dem anderen.
Beispiele für Phishing-E-Mails
Das Problem mit Phishing-Angriffen besteht darin, dass sie sowohl häufig als auch einzigartig für die Zeit und Umstände um sie herum sind, sodass jedes einzelne Beispiel ziemlich alltäglich sein kann. Wir werden im Folgenden eine gängige Phishing-E-Mail analysieren, aber es wird noch viele Male vorkommen, dass Phishing in den Nachrichten auftaucht. Lassen Sie uns einen Blick darauf werfen.
Phisher vor Gericht bringen
Wir haben bereits über die allerersten Phishing-Angriffe auf AOL geschrieben, bei denen sich Cyberkriminelle als AOL-Mitarbeiter ausgegeben haben, um an die Zahlungsinformationen der Benutzer zu gelangen. Bei AOL gab es jedoch eine weitere Premiere in der Welt des Phishing: Im Jahr 2004 reichte die US-amerikanische Federal Trade Commission die allererste Klage gegen einen mutmaßlichen Phisher ein, einen kalifornischen Teenager, der angeblich eine gefälschte Version der AOL-Website benutzte, um Kreditkarteninformationen zu stehlen. Ein Jahr später brachte Senator Patrick Leahy den „Anti-Phishing Act“ von 2005 ein, der das Gesetz bezüglich der Kriminalität mit gefälschten Websites und E-Mails festigte. Straftätern drohte damit eine Geldstrafe von bis zu 250.000 US-Dollar und Gefängnisstrafen von bis zu fünf Jahren.
Spektakulärer Fall in Großbritannien
Im „größten Fall, mit dem sich die Action Fraud Unit der Metropolitan Police je befasst hat“, wurden 2013 drei Männer festgenommen, nachdem sie mithilfe von über 2600 gefälschten Banken-Websites 59 Millionen Pfund von Bankkunden in über 14 Ländern ergaunert hatten. Sie residierten in vornehmen Hotels innerhalb Großbritanniens und wurden schließlich gefasst, als sie ein Hotel-WLAN nutzten, um sich bei Servern anzumelden, auf denen kompromittierte Bankdaten gespeichert waren. (Wenn sie die Gefahren von offenem WLAN gekannt hätten, wären sie vielleicht nicht gefasst worden. Kriminelle sollten ein VPN verwenden!). Jeder der Männer kam für insgesamt 20 Jahre ins Gefängnis und die Daten von fast 70 Millionen Bankkunden wurden bald darauf gerettet.
Operation Phish Phry
Diese zwei Jahre dauernden Ermittlungen, angeführt von US-amerikanischen und ägyptischen Behörden, hatten nicht nur den besten Codenamen der Welt, sondern führten auch dazu, dass 100 Personen angeklagt wurden, im Jahr 2009 mit Phishing-Betrügereien Kontodaten von Tausenden von Menschen gestohlen zu haben. Über die Dauer dieser kriminellen Machenschaften war es den Tätern gelungen, 1,5 Millionen Dollar zu erbeuten.
Letzten Endes sollten einige dieser Angeklagten etwa 20 Jahre im Gefängnis verbringen. Andere sollten glimpflicher davonkommen, aber alle beglückwünschten sich gegenseitig zu guter Arbeit bei diesen internationalen Phishing-Ermittlungen. Sie wurden als der größte internationale Fall aller Zeiten bezeichnet.
Und raten Sie einmal, welcher FBI-Direktor in diesem Fall die Oberaufsicht hatte? Robert Mueller. Ja, genau der.
Kurs auf Target halten …
Der Target-Hack aus dem Jahr 2013 sorgte international für Aufsehen, als sich herausstellte, dass die Daten von über 110 Millionen Kunden kompromittiert worden waren. Das Unternehmen hatte alle Hände voll zu tun, seinen Besitz zu sichern und die betroffenen Kunden zu warnen. Was Sie jedoch vielleicht nicht wissen: Angefangen hat alles aufgrund eines Phishing-Angriffs. Er richtete sich nicht gegen Target selbst: Vielmehr starteten die Hacker einen Phishing-Angriff auf ein in Pittsburgh ansässiges Unternehmen im Bereich Heizungs-, Lüftungs- und Klimaanlagen, das dank seiner engen Partnerschaft mit dem System von Target verbunden war.
Der Target-Hack – eine der größten Datenpannen in der Geschichte – begann mit einem Phishing-Angriff
Nachdem über einen E-Mail-Phishing-Betrug Netzwerk-Anmeldeinformationen gestohlen worden waren, wurde Malware in das System injiziert, die sich auf Target ausbreitete. Dabei wurden Kreditkartendaten aus Tausenden von Kassen erfasst.
Dies ist auch einer der ersten Fälle, in denen Missmanagement durch Führungskräfte direkt für den Vorfall verantwortlich gemacht werden konnte. Sowohl der CEO als auch der CIO von Target wurden entlassen, weil sie von den vorhandenen Sicherheitsmängeln wussten, aber nicht genug dagegen unternahmen. Das war zwar ausgleichende Gerechtigkeit, aber nur ein kleiner Trost für die Millionen betroffenen Kunden.
Und jetzt wird es politisch
Der größte Phishing-Betrug des letzten Jahres kam aus der politischen Szene der Vereinigten Staaten, als Hillary Clintons Wahlkampfmanager John Podesta auf eine Phishing-E-Mail hereinfiel, die zum Verlust ihrer privaten E-Mails führte. Dieser Hack wird häufig als entscheidender Moment der Wahl 2016 angeführt. Er enthüllte persönliche und berufliche Informationen über die ehemalige Kandidatin und löste sowohl eine Diskussion über Cybersicherheit als auch Ermittlungen bezüglich der Täter aus. Aber auch die andere Seite des politischen Spektrums hatte Phishing-Probleme: Gizmodo zeigte, wie verwundbar Donald Trumps Weißes Haus ist, indem es einen Phishing-Angriff gegen sämtliche Mitarbeiter startete und nachwies, dass acht Personen (u. a. Berater Newt Gingrich und FBI-Chef James Comey) auf die E-Mail hereinfielen.
So erkennen Sie eine Phishing-E-Mail
Da die Ziele von Phishing-E-Mails so vielfältig sind, ist auch der „Look“ jeder einzelnen ganz unterschiedlich. Wir schauen uns einige Beispiele an, wobei die meisten von ihnen die gleichen grundlegenden „Attribute“ aufweisen:
Leider sind diese Attribute nicht in Spear-Phishing-E-Mails zu finden, die bestimmte Personen oder Organisationen täuschen sollen. Sie sind nicht vage und weisen auch nicht die schlechte Schreibweise und Grammatik anderer, häufig vorkommender Phishing-E-Mails auf.
Aber lassen Sie uns nicht vorgreifen.
Klon-Phishing
Dies wäre ein typisches Beispiel für eine Klon-Phishing-E-Mail, und sie weist alle Anzeichen auf: Zunächst einmal werden Sie nicht direkt angesprochen, und im Text der E-Mail sind keine persönlichen Angaben enthalten. Als Authentizitätsnachweis sind in E-Mails, die von tatsächlichen Diensten gesendet werden, Ihr Name, Ihre Kontonummer oder andere dort hinterlegte Informationen enthalten, um zu zeigen, dass die E-Mail echt ist. In dieser E-Mail fehlt das komplett.
Das zweite, offensichtlichere Anzeichen ist jedoch der E-Mail-Link: Er führt zu einer http-Website, die nicht verifiziert und ungesichert ist. Jeder authentische Link würde zu einer HTTPS-Website führen, aber manchmal wird versucht, den Link durch Hypertext zu verbergen:
Sie können jedoch immer die Maus über den Link bewegen, um zu sehen, wohin er führt. Wenn Sie jemals eine solche E-Mail erhalten, sollten Sie dennoch aus Sicherheitsgründen nicht auf den Link klicken, sondern die Seite direkt im Webbrowser aufrufen. Auf diese Weise können Sie sicher sein, dass Sie zur authentischen Website navigieren.
Die oben genannte E-Mail weist auch einige weitere Merkmale einer Phishing-E-Mail auf: schlechte Grammatik. Nein, das liegt nicht unbedingt daran, dass alle Hacker in der Schule durchgefallen sind oder ihre Muttersprache schlecht beherrschen. Oft sind mangelhafte Grammatik und Rechtschreibung beabsichtigt. Die Hacker gehen davon aus, dass jemand, der Rechtschreib- oder Grammatikfehler nicht bemerkt, leichtsinnig und vielleicht sogar ein bisschen dumm ist. Das bedeutet evtl., dass er langsamer reagiert, wenn seine Daten gestohlen werden, falls er es überhaupt bemerkt.
Sehen wir uns die andere häufigste Art von E-Mail an ...
E-Mails zum Übertragen von Malware
Diese sind herrlich einfach.
Dies ist ein Beispiel der jüngsten Google Docs-Malware, die wir oben beiläufig erwähnt haben. Sobald Sie auf die Schaltfläche „In Docs öffnen“" klicken, übertragen Sie Malware auf Ihren Computer. Schauen wir uns ein weiteres Exemplar an:
Und andere sind noch weniger subtil:
Diese E-Mails versuchen nicht wirklich, Sie „auszutricksen“: Gesunder Menschenverstand und ein wenig kritisches Denken würden die meisten Menschen dazu bringen, sie einfach zu löschen. Vielmehr nutzen Hacker gleichermaßen Apathie und Neugier aus: dieselben Mittel, mit denen sie Benutzer dazu bringen, infizierte USB-Sticks einzustecken.
Dennoch sind ihre Merkmale sehr aufschlussreich: Zum einen sind die Dateierweiterungen in den letzten beiden E-Mails offensichtliche Anzeichen. Es gibt keinen Grund, warum ein gescanntes Bild eine ZIP-Datei sein sollte, und niemand muss Ihnen eine HTML-Seite senden, um Probleme mit Ihrem Konto zu beheben. Die Absender sind auch recht seltsam: Ich bin mir ziemlich sicher, dass niemand bei Buzzfeed Ihre Mitarbeit bei irgendwelchen Artikeln benötigt, und „hortonhouse1@horntonhouse1.karzoo“ ist kein besonders glaubwürdiger Benutzername. Im zweiten Beispiel ist die Absenderadresse überzeugender, aber hätte der Support wirklich das .com im Namen? Wenn Sie sich nicht sicher sind, können Sie immer auf der Seite „Kontakt“ der Website nachsehen.
Aber natürlich sollten Sie niemals etwas herunterladen, bei dem Sie nicht sicher sind. Das ist Tipp Nr. 1 für E-Mails und in gewisser Hinsicht fürs Leben.
Spear-Phishing
Spear-Phishing ist eine verzwicktere Angelegenheit.
Wie Sie sehen, weist eine gut gemachte Spear-Phishing-E-Mail viele der zuvor beschriebenen Merkmale nicht auf. Sie richtet sich an eine bestimmte Person, verwendet eine HTTPS-Website und enthält keine Grammatik- oder Rechtschreibfehler. In diesem Fall wäre der Absender das verräterische Merkmal: Google ArAutoBot. Das sollte Sie stutzig machen. Wenn Sie jedoch bei der Arbeit beschäftigt sind und nur flüchtig hinschauen, könnten Sie dieses Detail leicht übersehen.
Manchmal sind die gefälschten Konten schwerer zu erkennen: Die Verwendung von Zeichen aus anderen Sprachen, die genauso aussehen wie deutsche Zeichen, kann bedeuten, dass jemand technisch eine andere URL hat, die jedoch absolut identisch aussieht. Wenn beispielsweise ein griechischer Großbuchstabe A statt eines deutschen verwendet wird, sehen die beiden für einen Menschen identisch aus, für einen Computer jedoch sehr unterschiedlich.
Der individuelle Charakter dieser E-Mails ist einer der Gründe, warum sie so erfolgreich sind. Eine bessere Planung, z. B. Empfänger einer E-Mail vorzuwarnen bzw. die Anhänge oder Links vor dem Öffnen nochmals zu prüfen, könnte diese Angriffe verhindern, aber für viele scheint das Risiko von Phishing-Angriffen nicht die Mühe wert zu sein, sich darauf vorzubereiten. Dies ist der ganze Grund, warum Hacker dieses Instrument so gerne benutzen.
Hilfe! Ich habe eine Phishing-E-Mail in meinem Posteingang!
Wenn Sie eine E-Mail-Adresse haben, ist die Wahrscheinlichkeit, dass Sie darunter irgendwann eine Phishing-E-Mail vorfinden, überwältigend hoch. Es besteht jedoch kein Grund zur Panik: Wir haben eine leicht nachvollziehbare Liste von Schritten zusammengestellt, die Sie in einer solchen Situation durchführen können.
Schritt 1: Löschen
Und fertig!
... Nun gut, daran hängt schon noch ein bisschen mehr. Während ein normaler Phishing-Angriff unvermeidlich ist und ignoriert werden kann, ist es unerlässlich, Ihren Vorgesetzten und die IT-Abteilung (sofern in Ihrem Unternehmen vorhanden) zu informieren, wenn Sie einen Spear-Phishing-Versuch in Ihrem Posteingang bemerken. Kein Hacker wird sich damit zufrieden geben, nur eine E-Mail zu senden, und er versucht es wahrscheinlich über mehrere Wochen, Monate oder noch längere Zeit bei mehreren Mitarbeitern. Daher ist es wichtig, nicht nur alle darauf vorzubereiten, wachsam zu bleiben, sondern auch aufzudecken, ob ein anderer, weniger informierter Mitarbeiter in die Phishing-Falle getappt ist. Je früher Sicherheitslücken geschlossen werden können, desto geringer ist der wahrscheinliche Schaden.
Außerdem können Sie häufige Phishing-Betrügereien der US-amerikanischen Federal Trade Commission melden, wenn Sie möchten. Unter OnGuardOnline.gov finden Sie auch einige nützliche Informationen zum Thema Betrug, durch Phishing oder anderweitig. Wenn Sie Glück haben, könnte Ihre Meldung sogar zu Verhaftungen führen.
Wie kann ich Phishing-Angriffe vermeiden?
Wie bereits erwähnt, ist Phishing traurige Realität: Ein Anti-Spam-Programm reduziert zwar die Anzahl der E-Mails, die Sie erhalten, aber es ist wahrscheinlich, dass doch einige durchkommen werden. Anstatt sich jedoch Sorgen darum zu machen, Ihren Posteingang von diesen Ärgernissen frei zu halten, ist es besser, einfach hinsichtlich der Gefahren wachsam zu bleiben und sich für die möglichen Auswirkungen zu wappnen, falls Sie doch einmal auf diese Täuschungen hereinfallen.
Seien Sie aufmerksam
Die beste Methode, um Phishing-E-Mails zu vermeiden, besteht darin, einfach nur sämtliche E-Mails zu prüfen, die Ihnen auch nur leicht verdächtig erscheinen.
-
Überprüfen Sie Rechtschreibung und Grammatik
-
Achten Sie darauf, dass die Links sicher sind, oder nutzen Sie einfach Ihren Webbrowser
-
Achten Sie auf Dateierweiterungen
-
Schauen Sie sich die Absenderadresse an und überlegen Sie, ob sie plausibel ist
-
Achten Sie darauf, dass alle Angaben spezifisch sind und der Absender seine Identität nachweisen kann
Eine nochmalige Prüfung dauert nur ein paar Sekunden, kann Ihnen aber jede Menge Ärger ersparen. Seien sie also diesbezüglich nicht nachlässig!
Verwenden Sie Anti-Spam-Schutz
Die meisten E-Mail-Anbieter haben zwar eine Art Anti-Spam-Schutz integriert, aber es ist nicht immer der beste. Wenn Sie einen externen Spam-Filter einsetzen, können Sie die Lücken schließen und heimtückische Phishing-E-Mails abfangen. Diese Filter funktionieren jedoch häufig nur bei Desktop-Posteingängen.
Denken Sie nach, bevor Sie eine E-Mail-Adresse angeben
Eine „lose“ E-Mail-Adresse, die öffentlich bekannt ist, lädt zu Phishing-E-Mails ein. Es ist häufig ratsam, zwei oder mehr E-Mail-Adressen zu haben: eine für die Anmeldung bei Websites und die Erstellung von Konten und eine weitere für private oder berufliche Zwecke. Auf diese Weise sollten die meisten Phishing-E-Mails zum ersten Konto geleitet werden, das Sie ohnehin kaum aufrufen.
Gute alte Sicherheitssoftware
Wie bereits erwähnt, gelangt mit einer Phishing-E-Mail ein Virus vor Ihre Tür, aber das ist alles: Die Malware kommt damit nicht an einem Antivirus-Programm vorbei, das Sie auf Ihrem PC oder Smartphone haben. Etwas Einfaches wie beispielsweise AVG AntiVirus FREE schützt Ihren Computer, wenn Sie versehentlich versuchen, betrügerische Anhänge herunterzuladen. Ein guter Schutz kann Sie auch von gefälschten Websites fernhalten, indem er jede Website auf ein richtiges, authentisches Sicherheitszertifikat prüft: Das bedeutet, dass Sie nie die Chance bekommen, diese gefälschte Website zu besuchen, an der die Hacker so hart gearbeitet haben.
Ein Hinweis zum „Vishing“
Die oben aufgeführten Maßnahmen lassen sich natürlich nicht auf „Vishing“ anwenden, aber das bedeutet nicht, dass Sie nichts tun können, um sich zu schützen. Apple, Microsoft und andere große Technologieunternehmen werden Sie niemals wegen eines „Problems“ mit Ihrem Gerät anrufen, insbesondere nicht durch „unabhängige Mitarbeiter“. Sollten Sie also einmal einen Anruf wie diesen erhalten, so können Sie entweder auflegen oder Ihrerseits die Person am anderen Ende hereinlegen. Machen Sie das Beste aus der Situation. Und wenn Sie etwa von einer Bank angerufen werden, wird man Sie immer mit Namen ansprechen. Ihnen werden zwar möglicherweise Verifizierungsfragen gestellt, um sicherzustellen, dass Sie auch die betreffende Person sind, aber Sie werden nicht nach einer PIN, Ihrer Sozialversicherungsnummer oder irgendeiner anderen kompromittierenden Nummer gefragt. Gleiches gilt, wenn Sie jemand anruft und behauptet, von der Polizei zu sein: Sie werden niemals Ihre Bankdaten per Telefon verifizieren müssen.
Große Technologieunternehmen werden Sie niemals wegen eines „Problems“ mit Ihrem Gerät anrufen, also können Sie gerne Ihrerseits den ahnungslosen Betrüger hereinlegen
Wenn jemand behauptet, zu einer Steuerbehörde oder einer anderen Organisation zu gehören, der Sie etwas „schulden“, aber Sie bittet, mit Überweisungen oder Prepaid-Karten bezahlen, dann wissen Sie, dass Sie es mit Betrug zu tun haben. Diese Methoden, Geld zu senden, sind unmöglich nachzuverfolgen, weshalb Betrüger sie gerne nutzen.
Und wenn Sie immer noch unsicher sind? Einfach auflegen und zurückrufen. Aber rufen Sie über die Nummer auf der offiziellen Website der betreffenden Organisation zurück. Jede echte Organisation hätte kein Problem damit, nur Betrüger würden dagegen protestieren.
Zum Abschluss
Bremsen Sie mich, wenn Sie diese Geschichte schon kennen:
Ein 29-jähriger Dachdecker meldet sich nach einem langen Arbeitstag bei seinem E-Mail-Konto an und stellt beim Durchschauen seiner E-Mails etwas Ungewöhnliches fest: Ein Fremder bittet ihn, an einem Google-Dokument mitzuarbeiten. Er ist ein wenig neugierig, wer der Absender ist, und der Voyeur in ihm interessiert sich sehr dafür, was das Dokument tatsächlich enthält.
Bevor er jedoch auf die Schaltfläche „In Docs öffnen“ klickt, hält er inne und bewegt lediglich seine Maus darüber. Er sieht sich die in der Ecke eingeblendete URL an und erkennt, dass der Link ganz bestimmt zu keinem Google-Dokument führt. Erleichtert atmet er auf, löscht sofort die E-Mail und geht wieder zur Tagesordnung über.
Vielleicht nicht so aufregend und dramatisch wie die verlorenen Millionen eines nigerianischen Prinzen, aber das ist die Art von Geschichten, die wir öfter hören möchten: Menschen, die ihren gesunden Menschenverstand einsetzen und Zurückhaltung üben, wenn es um seltsame, eigenartige und wahrscheinlich gefährliche Dingen im Internet geht. Denn mit ein wenig Vorsorge und Vorsicht wird das größte und beliebteste Instrument des Hacker-Toolkits absolut wertlos.
Und ist das nicht das stärkste Gefühl auf der Welt?