Die vermeintliche E-Mail von der Hausbank kam komplett unerwartet, ihr Design täuschend echt, der Inhalt auf den ersten Blick unverdächtig: „Wir haben eine Sicherheitslücke in unseren Systemen festgestellt. Bitte melden Sie sich unverzüglich in ihrem Account an, um ihre Identität zu verifizieren“ – viele Empfänger einer solchen E-Mail sind nicht in der Lage, den sich dahinter versteckenden Betrug zu durchschauen. Denn hierbei handelt es sich nicht etwa um eine Sicherheitslücke oder einen gut gemeinten Rat des Kreditinstituts, sondern um eine ganz klassische Phishing-E-Mail.

Doch wie funktioniert Phishing eigentlich und ist man als Laie überhaupt in der Lage, die Masche zu durschauen? Was passiert, nachdem ich doch auf den Schwindel hereingefallen bin? Warum heißen Phishing E-Mails überhaupt so und wie kann ich mich vor ihnen schützen? Fragen zum Thema Phishing gibt es wie Sand am Meer. Dieser Blogbeitrag möchte etwas Licht in die Abgründe der Phishing-Masche bringen und zeigt nicht nur, wie man Phishing-E-Mails mit ein paar simplen Tricks entlarven kann, sondern auch, wie man sie gar nicht erst in sein E-Mail-Postfach lässt.

Der Name ist Programm

Das Wort „Phishing“ etablierte sich in den 1990er-Jahren in den USA und hat an sich eher weniger mit dem offenen Meer und seinen Bewohnern zu tun, doch Parallelen zum englischen Wort „fishing“, zu Deutsch „angeln“, lassen sich dennoch durchaus ziehen. Denn beim Phishing „angeln“ sich die Cyberkriminellen wortwörtlich die persönlichen Daten ihrer Opfer auf betrügerische Art und Weise.

Auch das Wort „Phreaking“ spielte eine Rolle bei der Namensgebung. Es beschreibt das Erschleichen von kostenfreien Telefonaten, indem ein 2600-Hertz-Ton erzeugt wird. Beim Einspielen in den Telefonhörer täuscht dieser bestimmte Vermittlungsstellen in beispielsweise den USA, Frankreich oder Japan, um Telefongespräche aufzubauen. Amüsant hieran ist, dass sich genau dieser 2600-Hertz-Ton mit einer Spielzeug-Pfeife erzeugen lässt, die einst eine Beilage der „Captain Crunsh“-Cerealien war. Die moderne Vermittlungstechnik ermöglicht diese Methode jedoch nicht mehr, allerdings ist dieses Verfahren der Beginn des heute bekannten „Hacking“. Der Begriff „Phishing“ ist eine Wortneuschöpfung aus den beiden Worten „Fishing“ und „Phreaking“.

Wie funktioniert Phishing?

Bei einem Phishing-Angriff handelt es sich um einen digitalen Identitätsdiebstahl. Hierbei verschicken die Hacker betrügerische E-Mails, die beispielsweise das Design bekannter Internetdienstleister, wie Amazon oder auch PayPal sowie renommierter Kreditinstitute nachahmen.

Die teilweise täuschend echt aussehenden Nachrichten versuchen ihre Empfänger mithilfe von perfiden Vorwänden auf gefälschte Webseiten zu locken, damit sie dort ihre persönlichen Daten preisgeben. Sie geben zum Beispiel vor, dass es einen Hackerangriff gegeben habe und der vermeintlich betroffene Account nicht mehr sicher sei. Nur wenn man seine Daten auf der über einen Link zu erreichenden Website verifiziere, sei die Sicherheit des Accounts wieder gewährleistet.

Der in der E-Mail enthaltene Link ist oftmals nur sehr schwer als Mogelpackung zu entlarven. Dies liegt schlicht daran, dass die Cyberkriminellen sehr viel Wert darauf legen, dass die verwendeten Links möglichst authentisch aussehen. Durch den Kauf von Domains, wie beispielsweise „amazn.com“, die dem Original nahezu ähnlich sehen, kann der Betrug erstaunlich hohe Erfolgsraten vorweisen. Knapp 114.000 solcher Phishing-Seiten sind laut der Anti-Phishing Working Group (APWG) im März 2018 online gewesen.

Um den Betrug perfekt zu machen, gilt dies selbstverständlich auch für die Absenderadressen der Phishing-E-Mails. Die eigentliche Amazon-Absenderadresse moc.n1547762206ozama1547762206@ylpe1547762206ron1547762206 wird dann gerne zu moc.n1547762206ozma@1547762206ylper1547762206on1547762206 abgewandelt.

Auch ist es bei bestimmten E-Mail-Clients möglich, absurde Absenderadressen, wie moc.n1547762206imaod1547762206@rekc1547762206ah1547762206, die nichts mit – in unserem Fall Amazon – zu tun haben, über einen Anzeigenamen zu tarnen. Optisch ist dieser Schwindel nur bei sehr genauem Hinsehen zu erkennen und fällt den meisten Opfern gar nicht oder zumindest erst dann auf, wenn es bereits zu spät ist. Denn hat die Zielperson erst ihre persönlichen Daten auf der schadhaften Website eingegeben, gelangen diese auf direktem Wege in die Fänge der Cyberkriminellen.

Phishing und seine Variationen

Reguläre Phishing-E-Mails, sind, genau wie Spam-E-Mails, für den Massenversand bestimmt. Cyberkriminelle kaufen hierfür große Mengen an E-Mail-Adressen zu oder nutzen eigenständig erbeutete Daten.Die Betrugsnachrichten werden anschließend meist millionenfach an unterschiedliche Personen versendet. Auch wenn bei so manchen Phishing-E-Mails selbst nicht viel Wert auf Details gelegt wird, können sie dennoch oft beachtliche Erfolgsraten erzielt werden – zumindest, wenn man totale Zahlen betrachtet. Ganz anders sieht es beim so genannten Spear-Phishing aus. Die Methode basiert im Wesentlichen auf der herkömmlichen Phishing-Masche, allerdings handelt es sich hier um einen gezielten E-Mail-Betrug.

Dieser kann sowohl auf ein bestimmtes Unternehmen, als auch auf eine einzelne Person zugeschnitten sein. Ziel ist es, sensible Finanz- oder Login-Daten zu stehlen. Mittels Social Engineering finden die Cyberkriminellen im Vorfeld so viele persönliche Informationen über ihr Ziel heraus, dass sie eine täuschend echt aussehende E-Mail-Kommunikation vortäuschen können. Das Opfer merkt bestenfalls nichts von dem Betrug und wird mithilfe eines Vorwands auf eine gefälschte Website geleitet, wo es im Anschluss seine Daten preisgibt.

Worauf sind die digitalen Piraten aus?

Meistens handelt es sich bei den durch die Cyberkriminellen „erangelten“ Informationen um Zugangsdaten für Online-Banking-Accounts oder andere webbasierte Banking Dienstleistungen, aber auch generell Kreditkarteninformationen stellen ein beliebtes Zielobjekt dar.

Die Motivation der Angreifer kann dabei durchaus verschieden sein und reicht von finanzieller Bereicherung in Form von Kontoplünderungen oder dem Verkauf von Daten, bis hin zu Hackerangriffe auf Unternehmen, die durch die Informationen der erbeuteten Daten durchgeführt werden.

Ich bin Opfer eines Phishing-Angriffs geworden – was ist nun zu tun?

Trotz aller Sicherheitsmaßnahmen ist es doch passiert und man ist zum Opfer einer Phishing-Attacke geworden? Oft bemerkt man diese erst, wenn es bereits zu spät ist. Jetzt gilt: Ruhe bewahren und schnell reagieren! Man sollte dazu am besten umgehend den Betreiber des betroffenen Accounts über die Phishing-Attacke informieren, damit dieser entsprechende Gegenmaßnahmen einleiten und den Betrug publik machen kann. In manchen Fällen kann man auch selbst schon aktiv werden, indem man die Zugangsdaten des betroffenen Kontos ändert oder es bei Möglichkeit selbst sperrt.

Wie kann ich mich effektiv vor Phishing schützen?

Die Erfolgsquote von Phishing-E-Mails ist erschreckend hoch. Trojaner-Info.de berichtete im Jahr 2017 sogar von einer äußerst aufwendig durchgeführten Phishing-Attacke gegen Vielflieger, die eine unglaubliche Erfolgsquote von 90 Prozent vorweisen konnte. Opfer einer Phishing-Attacke zu werden geht also schneller als einem lieb ist. Umso wichtiger ist es daher, sich bereits im Vorfeld gegen potentielle Phishing-Angriffe zu wappnen. Die wichtigsten Ratschläge haben wir daher in den folgenden Absätzen aufgeführt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

1. Sensibilisierung

Zunächst einmal stellt die richtige Sensibilisierung im Kampf gegen Phishing E-Mails eine gute Grundlage dar. Viele Nutzer sind nicht genügend über im E-Mail-Postfach lauernde Gefahren, wie etwa Phishing-Attacken, informiert. Für sie ist es daher nur schwer, E-Mails mit betrügerischen Absichten als solche zu entlarven. Allerdings kann das Risiko einer Phishing-Kampagne mit ein wenig Vorwissen immerhin reduziert werden.

Zuallererst sollte beim Verdacht auf Phishing geprüft werden, ob die Absenderadresse auch tatsächlich mit der Original-Domain übereinstimmt oder ob Zusätze bzw. Rechtschreibfehler enthalten sind. Ist dies der Fall, kann es sich um ein erstes Indiz für einen Phishing-Angriff handeln. Ein weiterer Hinweis kann unpersönliche Anrede, wie „Sehr geehrte Damen und Herren“ sein. Außerdem sollte man Vorsicht bei in E-Mails platzierten Links oder Buttons walten lassen, da man als „normaler Nutzer“ leider nur sehr schwer nachprüfen kann, ob das vermeintliche Link-Ziel auch tatsächlich korrekt ist.

Falls die Adresse ähnlich zu der Original-Domain sein sollte und zunächst unverdächtig wirkt, dann kann man dies nachprüfen, indem man beide URLs abgleicht. Zudem sollte man niemals persönliche Daten in einer E-Mail-Kommunikation preisgeben.

2. Aktiver Schutz

Über die Sensibilisierung hinaus, gibt es Dinge die getan werden können, um sich aktiv gegen Phishing-Attacken zu schützen. Im E-Mail-Client sollte etwa die Funktion „Aktive Inhalte ausführen“ deaktiviert sein, da diese dazu führen kann, dass auch schädliche Inhalte unbemerkt und automatisch ausgeführt werden.

Wer Phishing E-Mails erst gar nicht in das E-Mail-Postfach gelangen lassen will, der sollte zudem auf einen Spamfilter Service nicht verzichten. Der Managed Spamfilter Service von Hornetsecurity filtert 99,9% aller per E-Mail versandten Bedrohungen, darunter auch Phishing E-Mails, zuverlässig aus.

Selbst gegen äußerst professionell durchgeführte Phishing-Attacken gibt es wirkungsvollen Schutz: Hornetsecurity Advanced Threat Protection ist in der Lage durch ein ganzes Bündel an Sicherheitsmechanismen, wie Fraud Attempt Analysis, Identity Spoofing-Recognition oder Targeted Attack Detection auch die ausgefeiltesten Phishing-Kampagnen zu erkennen. Das Risiko für Mitarbeiter und Unternehmen kann somit also drastisch gesenkt werden.

Beispiel für eine Phishing E-Mail:

Phishing E-Mail Beispiel

Klassische Phishing-E-Mail, bei der sich die Cyberkriminellen als Kreditinstitut tarnen. Über den Vorwand, dass es ungewöhnliche Login-Aktivitäten auf dem Konto gegeben habe, wird die Zielperson dazu genötigt, ihre Kontodaten zu verifizieren. Das Design ist von dem regulären Design der Bank nicht zu unterscheiden. Die E-Mail weist keinerlei Rechtschreibfehler auf und die Formatierung ist ordentlich. Werbeanzeigen in der E-Mail mit Verlinkungen zur echten Website sowie der QR-Coder für die Banking-App runden das Gesamtbild ab. Da es sich um ein Kreditinstitut aus Südafrika handelt, ist selbst die Absender-Domain „abSaMail.co.za“ recht glaubwürdig. Lediglich der Prefix „xiphaMe“ wirkt merkwürdig und deutet auf einen Betrug hin.

Beispiel für eine Spear-Phishing E-Mail:

Spear-Phishing E-Mail Beispiel

Beispiel für eine perfide Spear-Phishing-E-Mail*. Die Betrüger haben im Vorfeld mittels Social Engineering die Namen, die E-Mail-Adressen und höchstwahrscheinlich auch die Beziehung zweier Mitarbeiter untereinander herausgefunden. Darauf haben sie anhand der erbeuteten Informationen eine möglichst authentisch wirkende E-Mail-Kommunikation nachgebildet. Durch persönliche Anrede und Insiderwissen über den Anwalt des Unternehmens wird Vertrauen aufgebaut. Die E-Mail-Adresse des vermeintlichen Absenders wird zudem im Namensfeld mitgenannt. Auf diese Weise soll suggeriert werden, dass es sich tatsächlich um die richtige Absenderadresse handelt. Erst dahinter folgt die eigentliche Absenderadresse.

*Es handelt sich bei dem dargestellten Beispiel um eine echte Spearphishing-E-Mail. Aus Datenschutzgründen wurden sämtliche persönliche Informationen abgeändert.