Dipl.-Volksw. Fritz Schmidt
Phishing
Phishing ist ein Neologismus und leitet sich aus dem englischen fishing (Angeln) ab. Hierbei versucht der Angreifer, sich über gefälschte Websites, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B., an persönliche Daten eines Internetbenutzers zu gelangen (Zugänge Onlinebanking oder Online-Bezahlsysteme) oder ihn zur Ausführung einer schädlichen Aktion zu bewegen, z. B. zur Installation einer Schadsoftware.
Ablauf von Phishing-Attacken
Phishing-Attacken laufen häufig nach dem gleichen Muster ab: Es geht eine persönlich gehaltene, offiziell anmutenden E-Mail ein, in der der Empfänger häufig nicht mit seinem Namen, sondern mit "Sehr geehrter Kunde" oder Ähnlichem angesprochen wird. Diese Mail soll der Empfänger dazu veranlassen, eine betrügerische Website zu besuchen oder einen Dateianhang herunterzuladen. Gern wird im Text auch das Problem eines Datendiebstahls thematisiert und behauptet, dass das Ausfüllen eines der E-Mail angehängten Formulars nötig sei, damit ein "neuartiges Sicherheitskonzept" wirksam werden könne. Folgt man dieser Aufforderung, gelangen die eingegebenen Daten (bspw. Benutzerkennungen, Passwörter etc.) in die Hände der Urheber der Phishing-Attacke.
In den gefährlicheren Angriffsformen befindet sich die Malware auf einer infizierten Website oder im Anhang einer E-Mail. Bereits durch den Besuch dieser Website oder das Öffnen des Dateianhangs wird auf dem Computer des Internetnutzers die Malware installiert. Entsprechend wird in Phishing-E-Mails darauf gedrängt, einen Link anzuklicken oder den Dateianhang zu öffnen.
Schutz vor Phishing-Attacken
Der beste technische Schutz der Systeme ist wirkungslos, wenn Nutzer durch ihr Verhalten den Angreifern die Türen zum System öffnen. Computerviren und Schadsoftware werden über E-Mails eingeschleust, weil Nutzer Anhänge von vermeintlich sicheren Absendern öffnen oder sich verleiten lassen, Websites zu besuchen. Die Information und Schulung der Mitarbeiter zur Wirkungsweise von Angriffen aus dem Cyberspace sind deshalb wichtige organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten.
Hinweise für Mitarbeiter zum Umgang mit E-Mails
- Erkenne dich selbst: Was sind meine ggf. unbefriedigten Bedürfnisse, die sich ein Betrüger zunutze machen könnte?
- Seien Sie misstrauisch: Ist der Inhalt der Mail plausibel?
- Immer mit der Ruhe: Lassen Sie sich nicht unter Druck setzen!
- Seien Sie nicht bequem im Umgang mit Mails: Fragen Sie ggf. telefonisch beim vermeintlichen Absender nach, wenn Sie Zweifel haben. Gehen Sie nicht über den Link, der in der Mail angegeben ist.
- Die Freiheit nehme ich mir: Löschen Sie verdächtige E-Mails – jeder seriöse Absender wird Verständnis dafür haben.
Erkennen von Phishing-Mails
Phishing-Mails lassen sich an folgenden Merkmalen erkennen:
Handlungsaufruf:
Der Empfänger der E-Mail wird dazu aufgerufen, jetzt sofort auf einen Link zu klicken oder einen Dateianhang zu öffnen. Typische Formulierungen sind: "Klicken Sie auf die angehängte Rechnung" oder "Tragen Sie sich hier ein" oder "Zur Schließung der Sicherheitslücke hier klicken".
Die Gründe für den Handlungsaufruf sind vielfältig:
- Mahnung oder letzte Mahnung
- Rechnung anbei (in der Anlage)
- Prüfen des Versandstatus einer Sendung oder Anmeldung auf einer Website, um die Zustellung eines Pakets zu ermöglichen
- Sicherheitsmängel sollen behoben werden
Die genannten Gründe sind nur Beispiele. Angreifer aus dem Internet sind sehr kreativ und erfinden immer neue Gründe.
Grammatikfehler:
Besonders beim E-Mail-Betrug treten häufig grammatikalische Fehler auf.
Mail-Adresse des Absenders:
Es tauchen krude Buchstaben- und Zahlenkombinationen auf oder ein bekanntes Label hat plötzlich einen Provider wie gmx, yahoo o. Ä.
Unpersönliche Anreden: "Sehr geehrter Kunde" oder "Hallo"
Beispiel für eine Phishing-Mail
Beispiel für eine Phishing-Mail
- Eine solche Absenderadresse ist im Geschäftsverkehr ungewöhnlich.
- "Hallo" ist eine unpersönliche Anrede und im Geschäftsverkehr eher ungewöhnlich.
- "Sie können die Zahlungsmethode hier auswählen" ist der erste Versuch, den Empfänger auf eine Website zu leiten.
- "Bitte hier auswählen" ist der zweite Versuch, den Empfänger auf eine Website zu leiten.
- "Viele Grüssee" – ein Rechtschreibfehler.
- Die Unterschrift ist eine wirre Kombination von Buchstaben.
Hinweise für Mitarbeiter, die Opfer von Phishing-Attacken wurden
- Es ist menschlich, Fehler zu machen. Sollten Sie also einen verdächtigen Mailanhang geöffnet, einen Link angeklickt oder vertrauliche Informationen wie etwa Login-Daten preisgegeben haben, verschweigen Sie diesen Fehler nicht, da ohnehin nachvollziehbar ist, wer die Sicherheitslücke verursacht hat.
- Nehmen Sie umgehend Ihren Rechner vom Netzwerk (Netzwerkkabel ziehen).
- Informieren Sie Ihren Vorgesetzten und den IT-Administrator.