Woran erkenne ich eine Phishing-Mail?
von Svenja Koch
Methoden und Beispiele aktueller Phishing-Angriffe
Phishing beschreibt den Versuch des Online-Diebstahls von sensiblen Daten mithilfe des Versands gefälschter E-Mails oder SMS. Die Opfer werden von Cyberkriminellen mittels täuschend echter E-Mails auf gefälschte Internetseiten von Banken, Onlineshops oder anderen Onlinediensten gelockt, um dort deren Benutzerkennungen und Passwörter zu ergattern. Die so erbeuteten Daten werden beispielsweise für Kontoplünderungen oder Hackerangriffe auf Unternehmen verwendet.
Eine effektive Möglichkeit, sich vor Phishing-Angriffen zu schützen, ist sicherlich, sich mit den Vorgehensweisen der Cyberkriminellen und den unterschiedlichen Formen des Phishing vertraut zu machen.
Methoden des Phishing
Hinter Phishing-Angriffen steckt grundsätzlich das Ziel, vertrauliche Informationen zu erbeuten. Diese Methode ist nicht neu und auch kein reines Phänomen des digitalen Zeitalters. Zeitlich vor der Online-Variante etablierte sich bereits die telefonische Methode, mit der Kriminelle über Anrufe mit vergleichbaren Techniken versucht haben, vertrauliche Informationen von ihren Opfern zu erbeuten. Diese Form des Phishing ist nach wie vor bis heute verbreitet.
Durch das Internet hat die Angriffsmethode des Online-Phishing jedoch deutlich an „Populariät“ gewonnen. Der Grund dafür ist, dass es mit niedrigem Aufwand möglich ist, eine große Menge an potenziellen Opfern zu anvisieren. Bei plumpen Phishing-Versuchen kommen Massenmails zum Einsatz, die Cyberkriminelle wahllos verschicken. Obwohl solche Nachrichten einfacher als Fälschungen zu erkennen sind, geht von ihnen die gleiche potenzielle Gefahr aus.
Mittlerweile gehen Cyberkriminelle intelligenter und systematischer vor: Beim Spear Phishing werden die Empfänger sorgfältig recherchiert und ausgewählt und erhalten von den Kriminellen E-Mails, die auf sie persönlich zugeschnitten sind und damit sehr glaubwürdig wirken.
Bei Spear Phishing handelt es sich also im Wesentlichen um eine ausgefeiltere Spielart von Phishing-Angriffen, bei der die Hacker sich als Geschäftspartner, Freund oder Dienstleister – wie etwa die eigene Bank oder PayPal – ausgeben. Sie verwenden einen bekannten Absendernamen, um Vertrauen zu erwecken. In der E-Mail werden Sie aufgefordert, auf einen manipulierten Link zu klicken oder vertrauliche Informationen zu übermitteln, wie Passwörter, Bankverbindungen oder andere personenbezogene Daten.
Unter der Bezeichnung SMS-Phishing oder Smishing ist eine weitere Vorgehensweise bekannt. Hierbei handelt es sich um Nachrichten mit ähnlichen Inhalten wie bei den Phishing-Mails, jedoch verschicken die Angreifer diese via SMS.
Aufbau einer Phishing-Mail
Typischerweise zeichnet sich eine Phishing-E-Mail durch folgende typische Elemente aus: Die persönliche Anrede, den Grund der E-Mail, den Ausdruck der Notwendigkeit zum Handeln, den Aufbau von Zeitdruck, das Aufzeigen der Konsequenzen des Nichthandelns und vor allem durch einen Link oder alternativ einen Dateianhang. Zeigen Sie lieber einmal zu viel Misstrauen als einmal zu wenig.
Die Nachricht informiert beispielsweise den Empfänger darüber, dass eine Auffälligkeit bei seinem Online-Account festgestellt wurde, dass etwa ein unbefugter Zugriff stattfand oder eine Bestätigung von persönlichen Daten notwendig sei. Bei E-Mails, die angeblich ein Logistikunternehmen verschickt hat, wird gerne auch auf eine Sendung hingewiesen, die nicht zustellbar ist.
Nachdem die erdachte Situation beschrieben ist, erfolgt eine Nennung der drohenden Konsequenzen. So informieren die Betrüger den Empfänger darüber, dass aufgrund des genannten Vorkommnisses der Zugang aktuell eingeschränkt ist oder demnächst beschränkt wird. Es würde eine Sperrung des Kontos erfolgen oder das Paket wird an den Absender zurückgeschickt, sofern der Betreffende nicht reagiert.
Im dritten Schritt liefert die Nachricht Anweisungen für eine Lösung der Lage. Hier fordern die Cyberkriminellen den Empfänger der Nachricht auf, sich in seinem Account einzuloggen, um die benötigten Schritte auszuführen. Sobald dies geschehen ist, sei der Zugang zum eigenen Konto wieder gewährleist, so wird es versprochen. Der zentrale Teil der Phishing-Nachricht versteckt sich in diesem Teil der Mail. Dazu gehört ein Link, der den Empfänger auf eine manipulierte Seite lockt. Diese externe Seite ist eine (mehr oder minder gute) Kopie der offiziellen Webseite eines Unternehmens, beispielsweise einer Bank, eines Versandhändlers oder eines Logistikunternehmens. Der Empfänger der Phishing E-Mail wird aufgefordert, sich dort mit seinen Informationen einzuloggen. Über diese fingierten Seiten der Cyberkriminellen fangen diese die Login-Daten für das Onlinebanking inklusive TAN und PIN ab. Mit diesen Informationen loggen die Betrüger sich dann im realen Onlinebanking-Account ein und entwenden Geld vom Konto.
Klicken Sie im Zweifel also keinesfalls auf Links oder Anhänge, antworten Sie nicht auf die E-Mail. Wichtig: Auch bei einer namentlichen Anrede und/oder echt wirkenden Logos können Sie nicht sicher sein, ob es sich um eine E-Mail des echten Anbieters handelt!
Phishing oder nicht? Achten Sie auf diese Anhaltspunkte!
Es gibt verschiedene Anzeichen, anhand derer eine Phishing-Attacke hinter einer empfangenen E-Mail zu vermuten ist. Diese müssen nicht immer vollständig zutreffen. Eine Tatsache sollten Sie jedoch immer im Hinterkopf behalten: Banken und andere Finanzinstitute fordern Kunden niemals per E-Mail auf, bestimmte Informationen zu betätigen oder verlangen die Herausgabe von Zugangsinformationen wie Passwörter, PINs oder TANs. E-Mails, SMS sowie Anrufe dieser Art sind zu ignorieren und am besten der eigenen Bank zu melden.
Darüber hinaus gibt es bestimmte Merkmale, an denen eine Phishing-Mail zu identifizieren ist. In erster Linie sind dies Fehler in der Rechtschreibung. Es ist davon auszugehen, dass seriösen Unternehmen solche Fehler nicht unterlaufen. Da Cyberkriminelle häufig auch aus dem Ausland agieren und für deutschsprachige E-Mails auf ein Übersetzungsprogramm zurückgreifen, können in diesen Fällen grammatikalische Fehler durchaus auftreten. Durchaus werden aus diesem Grund auch Phishing-Mails komplett auf Englisch verfasst. Hier gilt ebenfalls, dass ein deutsches Unternehmen üblicherweise keine Nachricht in einer Fremdsprache an seine Kunden verschicken würde.
Des Weiteren geben Phishing-Nachrichten in der Regel eine Dringlichkeit vor. In den E-Mails wird dann davon gesprochen, dass eine sofortige Aktion erforderlich ist. Darauf weisen die Betrüger auch gerne bereits im Betreff hin. Passend dazu droht die Nachricht damit, dass negative Konsequenzen unausweichlich sind, falls der Empfänger nicht innerhalb der kurzen Frist reagiert.
Fingierte Nachrichten erkennen Empfänger im offensichtlichsten Fall daran, dass eine persönliche Anrede fehlt. Dieser Punkt muss jedoch nicht zutreffen. Beim gezielten Spear-Phishing ist möglicherweise der Name des Mail-Inhabers bekannt, so dass die Kriminellen auch eine direkte Anrede einbauen. Fehlt diese jedoch, ist dies ein klares Indiz für einen Phishing-Versuch.
Last but not least verrät der Mail-Header viele Informationen zu einer E-Mail, die sonst nicht sichtbar sind. Er ist jedoch nicht intuitiv zu lesen.
Was Ihnen der E-Mail-Header verrät, in Kürze:
- Neben dem eigentlichen Nachrichtentext besteht eine E-Mail auch aus einem sogenannten Header (deutsch: Kopfzeile).
- Dem Header können Sie Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders entnehmen , die sonst nicht sichtbar wären.
- Mithilfe der IP-Adresse des Absenders, die sich nicht manipulieren lässt, können Sie den Server identifizieren über den die E-Mail verschickt wurde. Stimmt dieser Mailserver nicht mit der E-Mailadresse überein, dann könnte es eine bösartige Phishing-Mail sein. Weiterführende Informationen zum Vorgehen erhalten Sie hier.
Microsoft, DHL und Banken – Phishing-Attacken bedienen sich Namen und Logos prominenter Firmen
Phishing-Betrüger greifen verbreitet auf bekannte und große Unternehmen zurück. Zum einen sind diese Marken und Logos in der Gesellschaft besonders bekannt und genießen das Vertrauen in großen Teilen der Bevölkerung. Zum anderen ist die Chance groß, dass die Empfänger solcher E-Mails Kunde bei diesen Unternehmen sind, wozu beispielweise Amazon, DHL oder PayPal gehören. Ebenso sind viele Computernutzer mit Microsoft vertraut und verwenden ein Betriebssystem des US-Softwareunternehmens.
Auf dem zweiten Platz der Phishing-Versuche folgte DHL mit einem Anteil von 18 Prozent. Zu den weiteren Unternehmen, deren Namen für Phishing-Attacken missbraucht wurden, gehören unter anderem Amazon, LinkedIn, IKEA und PayPal.
Im deutschsprachigen Raum greifen Betrüger häufig auf die bekannten Banken zurück und versuchen auf diesem Weg, Zugänge zu Bankkonten zu erlangen. Die Verbraucherzentrale Mecklenburg-Vorpommern warnte jüngst Anfang Februar 2021 vor aktuellen Phishing-Mails, die Nachrichten der Sparkasse nachempfunden seien. Auch in diesem Fall versuchten die Kriminellen, die Opfer auf gefälschte Webseiten zu locken, um auf diesem Weg deren Zugangsdaten zu erbeuten.
Der Unterschied zwischen Phishing und Pharming
Das Pharming ist eine Form der Cyberkriminalität, die dem Phishing sehr ähnlich ist: Der Datenverkehr einer Webseite wird manipuliert, und vertrauliche Daten werden gestohlen. Pharming setzt an den Grundlagen des Surfens im Internet an und nutzt aus, dass die Buchstabenfolge, aus der eine Internetadresse besteht, z. B. www.google.de, von einem DNS-Server in eine IP-Adresse umgewandelt werden muss, damit eine Verbindung zustande kommt. Dieser Exploit greift diesen Vorgang auf zwei unterschiedliche Weisen an. Die erste Möglichkeit besteht darin, einen Virus oder einen Trojaner auf dem Computer eines Benutzers zu installieren, der die dortige Hostdatei mit dem Ziel manipuliert, den Webverkehr vom gewünschten Ziel an eine gefälschte Webseite umzuleiten. Ein weitere Option sieht vor, einen DNS-Server zu infizieren, so dass eine Vielzahl von Benutzern an die gefälschte Webseite umgeleitet wird. Die gefälschten Webseiten dienen dazu, Viren oder Trojaner auf den Computern der Benutzer zu installieren oder es wird versucht, persönliche oder finanzielle Informationen für Identitätsdiebstahl zu entwenden.
Pharming ist eine besonders beunruhigende Spielart des Cyberverbrechens, denn wenn es gelingt, einen DNS-Server zu infizieren, werden Benutzer zu Opfern, auch wenn ihre Computer vollständig frei von Malware sind. Selbst Vorsichtsmaßnahmen wie das manuelle Eingeben der Webadresse oder die Verwendung sicherer Lesezeichen reichen nicht aus: Die Umleitung geschieht, nachdem der Computer eine Verbindungsanfrage gesendet hat.
Softwarelösungen und andere Maßnahmen zum Schutz vor Phishing-Attacken
Einen vollständigen softwareseitigen Schutz vor Phishing-Attacken gibt es, wie bei den meisten Cyberbedrohungen, nicht. Dies liegt daran, dass durch das Anklicken von Nachrichten der Nutzer selbst das eigentliche Sicherheitsrisiko darstellt. Dennoch gibt es Möglichkeiten, die eigene Cyber Security und den Schutz vor Phishing-Versuchen deutlich zu verbessern.
In erster Linie sind dies Anti-Virenprogramme sowie der Einsatz eines aktuellen, sicheren Browsers. Diese beiden IT-Sicherheitsmaßnahmen bieten einen gewissen Schutz vor Phishing-Versuchen, da sie vor unsicheren Webseiten warnen und den Nutzer somit vor dem Betreten solcher Seiten bewahren. Eine weitere Option, die besonders effektiv gegen das Pharming ist, ist der Einsatz spezieller Programme für die Nutzung von Onlinebanking. Die Software nutzt eigene, hinterlegte IP-Adressen für den Zugriff auf die Webseiten der Banken. Dies verhindert, dass lokal manipulierte DNS-Adressen zu einer Umleitung auf die gefälschten Seiten der Betrüger im Browser führen.
Ebenso wichtig ist es, das eigene Betriebssystem auf einem aktuellen Stand zu halten. Auf diese Weise ist das Risiko, dass sich offene Sicherheitslücken auf dem System befinden, deutlich geringer. Solche Lücken nutzen Angreifer aus, um beispielsweise Trojaner oder Malware einzuschleusen. Bei der Nutzung von Webseiten wie Amazon oder dem Onlinebanking ist auf eine sichere Verbindung zu achten. Diese erkennen Nutzer an dem https:// im Browser zu Beginn der URL. Dies gewährleistet einerseits eine sichere Übertragung der Daten, die Nutzer und Server austauschen, andererseits erfolgt eine Authentifizierung des Servers anhand eines Zertifikats.
Ebenfalls ist es möglich, fingierte Webseiten anhand der Adresse zu erkennen, denen Cyberkriminelle einen möglichst ähnlichen Namen gegeben haben, der aber bei genauem Hinsehen als vom Original geringfügig abweichend erkannt werden kann.
Eine gute Verteidigungstechnik gegen Phishing-Attacken ist ein gesundes Maß an Misstrauen. Auf den ersten Blick wirken die Nachrichten vertrauenswürdig und logisch. Deshalb handeln Nutzer im Affekt und besuchen die manipulierte Webseite. Falls die Webseite mit Schadsoftware präpariert ist, reicht dies unter Umständen bereits für eine Kompromittierung aus. Deshalb ist es wichtig, bei jeder Nachricht eine natürliche Vorsicht walten zu lassen. Ebenso wichtig ist der sorgsame Umgang mit persönlichen Daten und Anmeldeinformationen. Diese sind niemals über das Internet zu übermitteln. Als Bestandteil der eigenen Cyber Security Strategie ist es wichtig, diese Punkte auch in regelmäßigen Schulungen den eigenen Mitarbeitern zu vermitteln.
Welche Chance haben Phishing-Angriffe in Ihrem Unternehmen?
Kontaktieren Sie uns - unsere IT Security Experten beraten Sie gerne!