Phishing-Angriffe erfolgreich abwehren

Zu den großen Bedrohungen aus dem Internet zählt nach wie vor das Phishing. Deshalb ist beim Umgang mit E-Mails stets Vorsicht angebracht, denn Software-Lösungen können das Problem nur reduzieren, aber nicht gänzlich ausschalten.

Wie oft haben Sie schon E-Mails erhalten, in denen sie dazu aufgefordert wurden, sofort aktiv zu werden, um eine drohende Kontoschließung oder Ähnliches zu verhindern? In der Vergangenheit waren solche Angriffe meist leicht zu durchschauen: Ein schlechtes Deutsch oder eine merkwürdige Logo-Platzierung machten solche E-Mails von vornherein als plumpe Fälschung erkennbar. Doch die Hacker lernen dazu.

Verdächtige E-Mails

Leider werden die Angriffe immer besser und dreister, so dass vielfach schon sehr genau hingeschaut werden muss, um den Betrugsversuch zu erkennen. Bei zweifelhaften E-Mails darf auf keinen Fall ein Anhang heruntergeladen und geöffnet werden. Auch den oft in solchen E-Mails enthaltenen Links sollte man nicht folgen (auch wenn man gar nicht die Absicht hat sich einzuloggen): Die Zielseite könnte mit Schad-Software verseucht sein, so dass allein schon das Aufrufen einer solchen Seite zur Infektion des eigenen Rechners führen kann.

Dem Autor dieser Zeilen ist es sogar schon passiert, dass er am Telefon vermeintlicherweise von seinem Mobilfunkprovider angerufen und zwecks einer Vertragsverlängerung nach seinem Kundenkennwort gefragt wurde. Weil der Anruf tatsächlich vom passendenden Anbieter kam und eine Vertragsverlängerung anstand, gelangte das Kennwort in die falschen Hände! Glücklicherweise kam mir die Aktion aber dennoch merkwürdig vor (die Dame am Telefon sprach nur ein sehr schlechtes Deutsch), so dass ich sofort beim Provider anrief und das Konto sperren bzw. das Kundenkennwort ändern ließ. Ein Schaden trat nicht ein.

Eine weitere Variante stellen Bewerbungen dar, die per E-Mail an die Personalabteilung geschickt werden. Die Anhänge solcher E-Mails sind meist keine harmlosen Lebensläufe!

Während der Corona-Krise wurde der Umstand ausgenutzt, dass Unternehmen schnell und günstig Schutzmasken beschaffen wollten. E-Mails mit entsprechenden Angeboten konnten dann entweder auf Seiten mit Schad-Software weiterleiten, oder es wurde versucht, an die Daten von Kreditkarten und Bankverbindungen zu kommen.

Phishing dient dem Datendiebstahl

Beim Phishing geht es also um das „Abfischen“ von sensiblen Daten, d. h. Zugangsdaten, Passwörtern, PINs bis hin zu Kontonummern oder Kreditkartennummern. Am Anfang steht dabei stets eine mehr oder weniger täuschend echt erscheinende E-Mail eines vertrauten bzw. vertrauenswürdigen Absenders. Darin enthaltene Links führen auf gefälschte Internetseiten von Banken, Onlineshops und anderen Anbietern (bis hin zu sozialen Netzwerken). Dort soll man sich einloggen um etwas korrigieren oder einkaufen zu können. Alternativ enthalten solche E-Mails Anhänge, die beim Öffnen eine Schad-Software auf den Rechner laden, um diesen auszuforschen und sensible Inhalte heimlich an den Absender zu schicken. Dieses Ziel kann auch erreicht werden, wenn die Schad-Software auf einer Website hinterlegt wird, auf die man über einen Link in der E-Mail gelangt.

Wie schützt man sich bestmöglich vor solchen Angriffen bzw. Täuschungsmanövern?

Schutzmassnahmen

Für den Fall, dass man sich Schad-Software eingefangen hat, kann ein Antivirenschutz bzw. eine Anti-Spam-Software einen gewissen Schutz bieten. Damit es aber gar nicht erst soweit kommt, muss der E-Mail-Eingang mit größtmöglicher Sorgfalt gehandhabt werden.

Leicht zu durchschauen sind die Nachrichten von Anbietern, bei denen man gar kein Konto hat. Diese sollten umgehend gelöscht werden. Bei Angeboten, die etwa die Einkaufsabteilung von Unternehmen erreichen, kann eine Google-Suche helfen herauszufinden, ob hinter dem gut klingenden Angebot tatsächlich ein ordentlicher Anbieter steht. Jeder seriöse Online-Shop lässt sich über eine Suchmaschine finden! Im Bedarfsfall kann man auch dort anrufen und konkret nachfragen. Sehr häufig werden inzwischen auch Benachrichtigungen von Lieferdiensten gefälscht, die den Empfänger dazu verleiten sollen, eine Sendung nachzuverfolgen. Genau das sollte man natürlich nicht tun.

Bei E-Mails aus sehr wichtigen Geschäftsverbindungen muss eine strenge Plausibilitätsprüfung durchgeführt werden: Sind hier tatsächlich noch Zahlungen offen? Warum könnte eine Konto-Überprüfung notwendig sein? Im Zweifelsfall kann man über die Website des jeweiligen Anbieters den Login-Bereich aufrufen, sich einloggen und nachsehen ob etwas nicht stimmt. Den Links in der E-Mail sollte man auf keinen Fall folgen. Oft kann man auch schon an der Linkadresse aus solchen E-Mails erkennen, dass diese nicht mit der URL übereinstimmen, bei der man sich üblicherweise einloggt.

Ein Merkmal haben sehr viele Phishing-Versuche gemeinsam: Es geht meist darum schnell zu handeln, weil sonst ein Konto gesperrt wird, ein Paket wieder an den Absender zugeschickt wird oder ein Produkt nur noch für kurze Zeit erhältlich ist. Immer wenn besondere Eile im Spiel ist, liegt der Phishing-Verdacht nahe.

Für Unternehmen kann sich der Einsatz einer speziellen Software lohnen, die Phishing-E-Mails erkennt und herausfiltert. Auch die im Unternehmen verwendeten Browser sollten vor Betrugsversuchen und Schadprogrammen schützen. Darüber hinaus helfen regelmäßige Schulungen bzw. Sensibilisierungen von Mitarbeitern.

Darüber hinaus sollten Logins durch eine Zweifaktor-Authentifizierung geschützt werden. Hier kommt eine zweite Hardware-Komponente ins Spiel, sei es ein Smartphone oder auch ein Sicherheitsschlüssel in Form eines speziell präparierten USB-Sticks. Weil Angreifer (Hacker) nicht über diese zweite Komponente verfügen, wird für sie der Login unmöglich. Allerdings: Schwächere Formen der Zweifaktor-Authentifizierung wie der Versand einer E-Mail sind inzwischen nicht mehr zu 100% sicher.

Ratsam ist es zudem, verdächtige E-Mails zu melden: In Betracht kommen dafür der Internetprovider, der vermeintliche Absender der E-Mail, die IT-Abteilung im Unternehmen und ggf. die Verbraucherzentrale.

Whaling als Variante des Phishing

Nicht zuletzt kann mit solchen Interventionen auf die Gefahr von Whaling reduziert werden: Beim Whaling, einem Sonderfall des Phishing, werden gezielt einzelne Mitarbeiter per E-Mail angesprochen. Als Absender fungieren scheinbar hochrangige Manager oder Firmeninhaber, die Zugang zu sensiblen Daten verlangen bzw. Geldüberweisungen auf Konten Dritter. Das kann täuschend echt wirken – und wer misstraut bzw. widerspricht schon gern der eigenen Geschäftsleitung? Leider haben schon etliche Unternehmen damit Geld verloren, wenn etwa per E-Mail die Order an die Buchhaltung erging, einen bestimmten Geldbetrag auf ein Konto im Ausland zu überweisen.

Hier kann es helfen, wenn derart sensible Vorgänge strikten Prozessketten (Vieraugenprinzip) unterworfen werden, die unter allen Umständen einzuhalten sind. Zudem sollten Mitarbeiter, die Zahlungen veranlassen können, jederzeit andere hochrangige Manager einbinden können (etwa um zu klären, ob ein Firmeninhaber tatsächlich gerade im Ausland ein wichtiges Geschäft anbahnt).

Künstliche Intelligenz als Gefahrenquelle

Zu einem großen Problem könnte die Verbreitung von Künstlicher Intelligenz werden: Denn Systeme wie ChatGPT können eine große Hilfe sein, wenn es darum geht, einen Text in gutem Deutsch (oder einer anderen Sprache) zu formulieren. Können heute noch Phishing-Angriffe sehr oft noch an der holprigen Sprache und offensichtlichen Rechtschreibfehlern schnell erkannt werden, dürfte das in Zukunft wahrscheinlich schwieriger werden: Angreifer aus dem Ausland, die der deutschen Sprache nicht wirklich mächtig sind, können sich von Diensten wie ChatGPT beim Formulieren und der Rechtschreibung helfen lassen.

Wachsamkeit ist immer nötig

Das Phishing ist also ein sehr vielfältiges Phänomen, das nur zum Teil durch Software-Produkte in Schach zu halten ist. Ebenso wichtig ist ständige Aufmerksamkeit und Sensibilität für ungewöhnliche Anfragen bzw. Angebote – und ebenso bei allen sehr eiligen Vorgängen.

Ein Tipp zum Schluss: Das Bundesamt für Sicherheit in der Informationstechnik gibt einen Newsletter heraus, der alle 14 Tage vor aktuellen Gefahren warnt.

Dieser Text stammt aus dem alten Blog des Autors und wurde hier Ende Januar 2023 zuletzt aktualisiert.

Photo by John Schnobrich on Unsplash