Phishing – wer angelt im Netz?

Geschrieben von: Nicolai Becker & Franziska Ahorn

Fast jeder hatte sie schon in seinem Mail-Postfach: Spam-Mails vom unbekannten Onkel, dessen Nachlassverwalter uns als einzigen Nachfahren und offiziellen Erben seines Reichtums ausfindig machen konnte, oder auch vom »Nigerian Prince«, der Geld zu verschenken habe und dem wir nur Summe X als Vorschuss für die Geldtransfer-Gebühren vorstrecken müssten …

Dass diese Mails Spam sind, ist recht offensichtlich, weil wir ihre Absender nicht kennen. Doch was ist, wenn einem eine persönlich bekannte Person oder ein Unternehmen schreibt? Ein vermeintlich Verwandter oder Vorgesetzter, die eigene Bank oder auch die Info-Mail eines sozialen Netzwerks könnte sich als Phishing-Betrüger entpuppen.

Was ist Phishing?

Unter Phishing (Mischung aus »fishing« und »phreaking«, einer früheren Methode, kostenlos zu telefonieren) versteht man den Versuch einer Person, sich als vertrauenswürdige Person oder Firma auszugeben und mithilfe von E-Mails, Kurznachrichten, Websites oder sonstiger digitaler Kommunikationsmittel an die persönlichen Daten eines Benutzers zu gelangen oder diesen, für ihn selbst unbemerkt, zu schädlichen Aktionen zu verleiten.

Die Arten des Phishings sind vielfältig und gelungene Attacken können sowohl für Privatpersonen als auch für Unternehmen und Organisationen verheerende Folgen nach sich ziehen.

Ist es einem Betrüger mithilfe der Phishing-Attacke gelungen, an sensible Daten heranzukommen, nutzt er diese meist für finanzielle Zwecke: Konten werden eröffnet, Geld hin- und hergebucht, Verträge geschlossen – fremde Daten bieten eine solide Grundlage für diverse Betrügereien im großen Stil, mit geringer Wahrscheinlichkeit, als Betrüger selbst dafür haftbar gemacht zu werden.

Selbst wenn die phishende Person die Daten nicht selbst nutzt, lassen sich diese problemlos weiterverkaufen.

Von kleinen Phishen bis zum Whaling – die Methoden

Reguläres Phishing

Oftmals ist diese Art des Phishings ziemlich offensichtlich. Rechtschreibfehler oder sogar falsch geschriebene Empfänger, seltsam holprige Sprache (nachdem der Text durch verschiedene Übersetzungsgeneratoren lief), sind eindeutige Hinweise, die einen skeptisch werden lassen. Teilweise haben Fehler jedoch sogar Methode: Man versucht (wie bei anderen Onlinebetrugs-Techniken auch), die naivsten oder nicht so digital versierten Empfänger zu treffen, die offensichtliche Fehler übersehen und somit prädestiniert sind, auf die kommende Masche hereinzufallen. Dabei wird ein großes Netz gespannt, um möglichst viele Treffer zu erreichen, egal von wem. Oft findet man hier gefakte Mails von eBay, PayPal, Facebook, Banken oder Email-Anbietern.

Spear-Phishing

Hierbei geht der Betrüger anders vor. Anstelle des Fangnetzes, konzentriert sich die Jagd nun auf gezielte Opfer, wie mit einem Speer. Die gefälschten Absender sind spezifischer, beispielsweise Mitarbeiter aus der Firma des Opfers. Es ist weniger generisch und genauer zugeschnitten. In diesen Fällen geht es oftmals sogar um das Erbeuten von Firmengeheimnissen oder gar militärischen Informationen.

Whaling

Ähnlich des Spear-Phishings, findet auch hier eine spezielle Auswahl des Opfers statt. Hinzu kommt eine soziale Komponente, die man nicht unterschätzen sollte. Die Phishing-Mails kommen in diesem Fall nämlich scheinbar von weisungsbefugten Personen, denen das Opfer unterstellt ist. Hierbei nutzten die Täter den Druck des Opfers, dem Chef gefallen zu wollen und die Sorge, den eigenen Vorgesetzten infrage stellen zu müssen.

Vishing, Smishing und Enkel, die Hilfe brauchen

Es gibt eine Vielzahl an Varianten des Phishings. Beim Vishing kommt die Stimme zum Einsatz. Den meist geschulten Stimmen vertrauen viele, gerade ältere Personen, häufig mehr als einer digitalen Textkommunikation. Diese Art des Phishings splittet sich wiederum ebenfalls in diverse Techniken.

Der Enkeltrick ist Vielen ein Begriff und die meisten von uns denken, dass sie auf so etwas nie hereinfallen würden. Selbst Jüngere glauben oftmals, dass sie beispielsweise mit einem Techniker ihres Internetanbieters telefonieren, während sich der Betrüger leise ins Fäustchen lacht. 

Smishing nutzt hingegen die gute alte SMS. 

Corona bietet neue Chancen beim Phishing

Das durch COVID-19 bedingte Wachstum an Home-Office-Arbeitsplätzen bietet Betrügern ungeahnte Möglichkeiten. 

Das Unternehmen F5 hat einen Report zum Thema Phishingversuche veröffentlicht. Es wird von massivem Missbrauch von kostenlosen und automatisierten Diensten für digitale Verschlüsselungszertifikate berichtet. 

Die Angreifer werden immer professioneller in der Erstellung täuschend echter Kopien von Websites, um ihre Opfer zu täuschen. Von 2019 auf 2020 gab es nur einen leichten Anstieg an Phishingvorfällen mit etwa 15% zum Vorjahr. Seit dem Beginn von Corona, im Frühjahr 2020 bis Mitte November, haben sich die Phishingvorfälle aber um 220% gesteigert.

Betrüger haben das Betrugspotenzial schnell erkannt und ihre Phishing-Aktivitäten gesteigert, denn Ausgangssperren, Homeoffice und eingeschränkten Möglichkeiten, einkaufen zu gehen, haben das Nutzerverhalten stark verändert. Fast jeder ist jetzt mehr am Handy oder am PC und öffnet regelmäßig sein E-Mail-Postfach. Und sei es, um die Sendungsnummer vom Paketdienst oder Bestell- oder Bezahlbestätigungen schnell zu checken – hier wittern Phisher schnellen Erfolg.

Die am häufigsten verschickten Phishing-Mails beinhalten folgende Themen: 

  • Passwortprüfung sofort erforderlich
  • Nachricht über Passwortänderung 
  • Update der Urlaubsrichtlinien 
  • COVID-19 Update der Richtlinie für Homeoffice
  • Wichtig: Update der Kleidungsordnung
  • Terminierte Server Wartung – kein Internetzugang 
  • Deaktivierung der E-Mail
  • Bitte prüfen Sie die urlaubsrechtlichen Voraussetzungen
  • Sie wurden einem Termin in Microsoft Teams hinzugefügt

Phishing – Erpressung per E-Mail 

In letzter Zeit häufen sich die Meldungen über Personen, die Opfer eines Phishingversuches wurden und mit persönlichen Dingen per E-Mail erpresst werden. Die Verbraucherzentrale meldet momentan einige Fälle von Erpressung, in denen Hacker angeblich die Kamera der Opfer übernommen haben und diese bei sexuellen Handlungen an sich selbst gefilmt haben. Da die Hacker womöglich Zugang zu den Social Media- oder E-Mail-Accounts der Opfer hatten, wird damit gedroht, das Videomaterial an Freunde und Verwandte zu schicken, wenn nicht ein gewisser Betrag per Bitcoin überwiesen wird. 

Um den Druck zu erhöhen, können die Mails auch persönliche Daten wie Handynummer, Postanschrift, Passwörter oder Bankverbindungen enthalten. Manchmal hängen auch Dateien an diesen Erpressungsnachrichten, die keinesfalls geöffnet werden sollten. 

Nach Einschätzung der Verbraucherzentrale sind diese E-Mails in der Regel nicht ernst zu nehmen. Die Polizei sieht das in der Regel auch so, wie zahlreiche Pressemitteilungen verschiedener Dienststellen zeigen. Trotzdem ist es wichtig, solche E-Mails anzuzeigen. 

Solche Methoden sind schon länger bekannt, waren aber nicht in diesem Ausmaß präsent, wie seit der Corona Krise. Die Daten, welche von den Erpressern benutzt werden, stammen meistens aus gekauften Datenbanken aus dem Darknet, welche auch schon veraltet sein können. Trotzdem sollte man seine Kontoauszüge prüfen, wenn man Opfer einer solcher Erpressung geworden ist.

Phishing mit Compliments

Am Ende des Jahres 2020 bekamen alle Mitarbeiter der US-amerikanischen Firma GoDaddy eine E-Mail. Ein weihnachtlich gestaltetes Dankeschön mit den wertschätzenden Worten: »2020 war dank euch ein Rekordjahr für GoDady!«. Da pandemiebedingt keine Weihnachtsfeier stattfinden könne, habe man sich dazu entschlossen, den Mitarbeitern einen Bonus zukommen zu lassen, in Höhe von 650 US-Dollar. Dafür mussten die Mitarbeiter nur ein Formular im Internet ausfüllen, reine Formalität. Doch zu früh gefreut, denn denjenigen, die das Formular absendeten, winkte anstelle des erhofften Bonus, eine Einladung vom Sicherheitsbeauftragten des Unternehmens. Zu einem Pflichtkurs in IT-Sicherheit, denn sie waren in diesem »Phishing-Test« durchgefallen. Ein gemeiner Test, der mit Hoffnungen spielt und diese bitter enttäuscht, aber auch ein Beispiel, das aufzeigt, dass selbst scheinbar digital versierte Menschen auf diese Tricks hereinfallen können.

Das ist mir zu gefährlich, ich mach jetzt dieses Internet aus!

Tatsächlich werden die Phishing-Techniken immer raffinierter. Doch bevor man soweit geht, nie wieder Mails zu öffnen oder auf Links zu klicken, sollte man einfach die folgenden Dinge beherzigen, um selbst kein Phishing-Opfer zu werden:

  • Wissen ist Macht: Wenn man weiß, wie es funktioniert, fällt man nicht so schnell darauf herein. In Firmen mit besonders sensiblen Daten sollte der Zugriff auf diese beschränkt und die befugten Mitarbeiter speziell in IT-Sicherheit geschult werden.
  • Kritisch sein und bleiben: Ist das die mir bisher bekannte E-mail-Adresse der Person? Sind die Anweisungen/Formulierungen seltsam? Stimmen alle angegebenen Daten? Ist die URL anders als sonst? Bei kleinstem Zweifel: immer den vermeintlichen Absender auf anderem Wege fragen, auch wenn es unhöflich wirken mag: Safety first!
  • Nicht blind Links klicken: Wenn eBay, Paypal & Co mir per Mail sagen, dass etwas nicht stimmt, tun sie dies auch, wenn ich mich direkt über die Website einlogge. Daher nicht auf Links in Mails klicken, sondern einfach die bekannte URL in den Browser eintippen, anmelden und nachschauen, was Sache ist
  • 2-Faktor Authentifizierung: Um sicherzugehen, dass man möglichst immer selbst die Kontrolle behält, sollte man, wenn möglich, die 2-Faktor Authentifizierung in Anspruch nehmen. Hat jemand anderes Zugriff aufs Konto und richtet diese auf seine Geräte ein, wird der eigene Zugriff extrem erschwert.
  • Schadensbegrenzung: In Unternehmen muss ein Sicherheitsablauf geplant werden, für den Fall, dass jemand doch einmal einen falschen Klick tätigt.
  • Sofortmaßnahmen: Auch bei Privatpersonen sollten, im Falle des Falles, sämtliche Passwörter und Sicherheitsfragen geändert werden.