Phishing… dabei handelt es sich um Betrug, bei dem ein Internetnutzer (in der Regel durch eine betrügerische E-Mail) dazu gebracht wird, persönliche oder vertrauliche Informationen preiszugeben, die dann vom Betrüger unrechtmäßig verwendet werden können.

Alles fängt mit einer E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt, um ein Opfer zu ködern.

Die Nachricht könnte wie eine Anfrage Ihrer Bank, Ihres Internet-Providers oder sogar des Unternehmens aussehen, für das Sie arbeiten oder dem Sie folgen. Meist enthält die Nachricht einen Link zum Anklicken oder einen Anhang zum Herunterladen.

Phishing gibt es schon seit mehr als zehn Jahren; “Als PCs im Haushalt in Verbindung mit der Internetnutzung noch relativ neu waren, erwies sich diese Methode damals als recht effektiv. Es stand aber noch nicht so im Fokus wie Phishing heute.” (James 2005)

Der erste Phishing-Angriff auf Finanzinstitute wurde im Jahr 2003 bekannt. Unternehmen mit all den teuren Firewalls, SSL-Zertifikaten und IDS-Regeln konnten die kritischste Bedrohung von allen nicht vorhersehen: die menschliche Komponente.

Jeder, der eine E-Mail-Adresse hat, hat wahrscheinlich schon einmal einen Phishing-Versuch erlebt, einige haben diesen vielleicht auch angeklickt.

Warum ist Phishing so gefährlich?

Durch den Anstieg der COVID-19-Fälle haben sich in vielen Unternehmen die Arbeitsbedingungen geändert, der Homeoffice-Anteil hat zugenommen, vermehrt werden E-Mails versendet.

Aber auch, wenn Phishing kein neues Phänomen ist, nutzen Cyberkriminelle jetzt die Situation vermehrt aus.

Laut Infosecurity-Magazine sind die E-Mail-Phishing-Angriffe seit Ende Februar 2020 durch die Coronavirus-Pandemie um mehr als 600 % gestiegen.

Wie erkennt man eine Phishing-E-Mail?

Der erste Schritt wäre der einfachste, den wir aber leider oft vergessen: Nehmen Sie sich Zeit, die E-Mail genauer anzusehen! Nehmen Sie dazu die folgenden Fragen des Phishing-Experten Christopher Hadnagy² zu Hilfe:

  • Stammt die E-Mail von jemandem, den ich kenne?
  • Habe ich diese E-Mail erwartet?
  • Sind die gestellten Fragen nachvollziehbar?
  • Versucht der Inhalt dieser E-Mail Angst, Gier oder Neugier zu wecken
  • Drängt die E-Mail Sie zu einer Aktion?

Wenn Sie sich die Zeit genommen haben, diese Fragen zu beantworten, denken Sie daran, dass Phishing-E-Mails in der Regel:

  • Nachrichten von echten, seriösen Organisationen gleichen
  • Dringend klingen und Angst erzeugen möchten
  • Angeblich wichtige Informationen oder aktuelle Nachrichten enthalten, die zu einem Anhang oder einem Link führen

Wie Sie sich vor einem Phishing-Angriff schützen können

Folgen Sie den Schritten von der  European Union Agency for Cybersecurity, um nicht auf den Köder hereinzufallen:

  1. Nehmen Sie sich Zeit, um über eine Anfrage nach Ihren persönlichen Daten nachzudenken. Prüfen Sie, ob die Anfrage angemessen ist. Öffnen Sie keine E-Mails von Personen, die Sie nicht kennen. Klicken Sie nicht auf verdächtige Anhänge, die Sie nicht erwartet haben.
  2. Geben Sie niemals persönliche oder finanzielle Informationen und Passwörter per E-Mail an jemanden weiter.
  3. Ignorieren Sie E-Mails, die Sie zum sofortigen Handeln auffordern. Phishing-E-Mails versuchen oft, ein Gefühl der Dringlichkeit zu erzeugen oder fordern zum sofortigen Handeln auf.
  4. Achten Sie auf Wortwahl und Terminologie. Neben Phishing können Cyberkriminelle auch über Spear-Phishing eine bestimmte Person in eine Falle locken, indem sie den vollen Namen des Empfängers verwenden. Achten Sie auf Begriffe und Sprache, die normalerweise von dem Absender verwendet werden.
  5. Überprüfen Sie die Absenderangaben. Überprüfen Sie den Namen des Absenders, die E-Mail-Adresse und ob die E-Mail-Domain mit der Organisation übereinstimmt, von der die E-Mail angeblich gesendet wurde. Stimmen diese nicht überein, handelt es sich wahrscheinlich um einen Phishing-Versuch.
  6. Prüfen Sie den Link, bevor Sie ihn anklicken. Sehen Sie sich Ihre E-Mails im Plaintext an, um zu sehen, welche Adresse tatsächlich hinter dem Hyperlink steckt. Wenn sie nicht mit der in der E-Mail übereinstimmt, handelt es sich wahrscheinlich um einen Phishing-Versuch.
  7. Achten Sie auf Rechtschreib- und grammatikalische Fehler. Enthält eine E-Mail viele Rechtschreib-, Zeichensetzungs- und/oder Grammatikfehler, könnte es sich um eine Phishing-E-Mail handeln.
  8. Seien Sie vorsichtig bei Informationen, die Dritte über COVID-19 verbreiten. Informieren Sie sich auf den offiziellen Websites über den aktuellen Stand von COVID-19. Betrügerische E-Mails sehen oft aus, als kämen sie von einer echten Organisation. Seriöse Regierungsbehörden werden Sie niemals anrufen oder direkt per E-Mail nach Informationen fragen.
  9. Schützen Sie Ihre Geräte. Installieren Sie Anti-Spam-, Anti-Spyware- und Anti-Viren-Software und stellen Sie sicher, dass diese immer auf dem neuesten Stand sind.
  10. Besuchen Sie Websites, indem Sie den Domainnamen selbst eintippen. Die meisten Unternehmen verwenden Verschlüsselung und Secure Socket Layer (SSL) / Transport Layer Security (TLS). Wenn Sie beim Surfen einen Zertifikatsfehler erhalten, sehen Sie es als Warnzeichen, dass mit der Website etwas nicht stimmt.
  11. Halten Sie Ihre private Adresse geheim und verwenden Sie diese nur für offizielle Transaktionen. Verwenden Sie für Ihre anderen Aktivitäten eine Alias E-Mail-Adresse. Damit beugen Sie Phishing-Versuchen vor und gefährden Ihre E-Mail-Adresse nicht.

Was tun, wenn Sie ein Phishing-Opfer geworden sind

  • Wenn Sie auf einen Link geklickt oder einen Anhang geöffnet haben, der schädliche Software heruntergeladen hat, aktualisieren Sie die Sicherheitssoftware Ihres Computers und führen Sie einen Scan durch.
  • Wenn Sie Anmeldedaten eingegeben haben, um auf Informationen zuzugreifen, ändern Sie diese sofort.
  • Wenn Sie Ihre Bankdaten angegeben haben, wenden Sie sich an Ihre Bank oder Ihr Kreditkartenunternehmen.

Maßnahmen ergreifen

Es ist ein machbarer und wichtiger Schritt, sich vor Betrügereien zu schützen. Wenn Sie eine Phishing-E-Mail erhalten, sollten Sie:

  1. Dieses Ihrer IT-Abteilung melden. Komprimieren/zippen Sie die E-Mail-Datei und leiten Sie diese als Anhang weiter. (Damit verhindern Sie, dass die Nachricht versehentlich geöffnet wird und Tracking-Pixel des Betrügers aktivieren werden usw.)
  2. Die E-Mail löschen.
  3. Die Organisation benachrichtigen, in deren Namen die Betrüger-E-Mail gesendet wurde. Damit verhindern Sie, dass andere Personen zu Opfern werden.

Quellen:

  1. James, Lance (2005) “Phishing Exposed.” (1st ed.) Syngress Publishing Inc.
  2. Hadnagy, Christopher (2015) “Phishing Dark Waters.” (1st ed.) John Wiley & Sons, Incorporated.
  3. European Union Agency for Cybersecurity. “Understanding and dealing with phishing during the COVID-19 pandemic.” May 6, 2020 from: www.enisa.europa.eu/news/enisa-news/understanding-and-dealing-with-phishing-during-the-covid-19-pandemic