Wie man sich vor Phishing-Angriffen schützt

Im ersten Quartal 2013 wurden laut dem Internet Threat Report von Commtouch weltweit durchschnittlich 97 Milliarden schädliche E-Mails verschickt, darunter Spam-Mails, Phishing-Mails und Mails mit Malware. Das United States Computer Emergency Readiness Team (US-CERT) definiert Phishing folgendermaßen: phishing attacks

Bei Phishing handelt es sich um den Versuch einer Einzelperson oder eine Gruppe, sich die persönlichen Informationen ahnungsloser Nutzer zu verschaffen. Dabei werden Methoden des sogenannten ‚Social Engineering‘ eingesetzt. Phishing E-Mails sind derart gestaltet, dass es so aussieht, als seien sie von einer anerkannten Organisation oder von einer persönlich bekannten Person verschickt worden. Solche E-Mails sollen Nutzer häufig dazu verleiten, einen Link anzuklicken, der zu einer manipulierten Website führt, die jedoch  auf den ersten Blick vertrauenswürdig erscheint. Daraufhin werden vom Nutzer oft persönliche Informationen wie Benutzernamen und Passwörter abgefragt. Durch die Preisgabe dieser Daten, kann dem Nutzer weiterer Schaden entstehen. Darüber hinaus befindet sich auf solchen Websites möglicherweise noch eine Schadsoftware.“

Für immer mehr Menschen ist das Internet das erste und wichtigste Kommunikationsmittel. Zur gleichen Zeit entwickeln Hacker und Cyberkriminelle immer raffiniertere Phishing-Strategien, mit denen sie im Internet sensible Account-Informationen, Geld und sogar die vollständige Identität ahnungsloser Betroffener stehlen.

Wenn auch Du regelmäßig das Internet nutzt, um mit Deiner Familie und Deinen Freunden zu kommunizieren, einzukaufen, Deine Bankkonten zu verwalten und Nachrichten zu lesen, dann ist eines von großer Wichtigkeit: Nimm Dir die Zeit, dich darüber zu informieren, wie Du Cyberkriminelle und Hacker daran hindern kannst, an Deine persönlichen Informationen zu kommen und diese zu stehlen.

Im folgenden Text dieses Posts werden wir skizzieren, wie man in nur vier einfachen Schritten eine Phishing-Mail erkennt.

1. Enthält die Nachricht Informationen, die sich möglicherweise auch auf Social-Media-Seiten oder auf Deiner persönlichen Website finden?

Mag sein, dass Du Dich nicht immer daran erinnerst. Aber wenn Du Dich bei Social-Media-Sites wie Facebook oder Twitter registrierst, gibst Du eine Reihe von persönlichen Informationen preis. Und um sich das Vertrauen ihrer Opfer zu erschleichen, verwenden Hacker oder Cyberkriminelle häufig persönliche Informationen (Name, E-Mail-Adresse, Hobbys, persönliche Interessen, Arbeitgeber), die auf den beliebten Social-Media-Sites leicht zugänglich sind.

Diese Form des Vorgehens wird von vielen Internet-Sicherheitsexperten als „Social Engineering“ bezeichnet. Das US-CERT definiert dies folgendermaßen: „Bei einem Social-Engineering-Angriff bedient sich der Angreifer menschlicher Interaktion (Sozialkompetenz), um Informationen über eine Organisation oder deren Computersystem zu erhalten oder diese zu beeinträchtigen.“

Wenn es darum geht, eine potenziell schädliche Phishing-Mail zu erkennen, sollte deswegen der erste Schritt sein: sich die persönliche Informationen, auf die in er Betreffzeile Bezug genommen wird, genau anzuschauen. Sollte diese Information nicht mehr aktuell sein (etwa ein alter Arbeitgeber), nicht mehr von Bedeutung (Du bist zwar in eine neue Stadt gezogen, hast das aber auf Facebook noch nicht aktualisiert), oder sollte diese Information sonst irgendwie merkwürdig aussehen, dann sollte man sehr vorsichtig mit der entsprechenden Mail umgehen.

2. Enthält die Mail seltsame URLs oder falsche Rechtschreibung?

Als zweiten Schritt beim Erkennen einer Phishing-Mail sollte man darauf achten, ob die Nachricht seltsame URLs oder Rechtschreifehler enthält. Die meisten anerkannten Firmen und Organisationen, die regelmäßig E-Mails verschicken, machen sich die Mühe, ihre Nachrichten Korrektur zu lesen, bevor sie an den Empfänger gehen. Wenn Du eine E-Mail erhältst, die offensichtlich Rechtschreibfehler enthält, dann ist die Chance recht groß, dass es sich hierbei um eine nicht-legitime Mail handelt.

Das Gleiche gilt für ungewöhnlich oder schwer lesbare URLs innerhalb der E-Mail. Auf einer Seite des Safety & Security Center von Microsoft findet sich der folgende Hinweis, der dabei helfen soll, potenziell gefährliche URLs in verdächtigen Mails zu identifizieren:

Wenn Sie in einer verdächtigen E-Mail einen Link sehen, klicken Sie diesen nicht an. Bewegen Sie den Mauszeiger darüber (aber klicken Sie nicht) und kontrollieren Sie, ob die angezeigte Adresse dem im Mail-Text ausgeschriebenen Link entspricht.

Dieser Schritt ist wichtig, und zwar bei jeder URL, die man in einer E-Mail anklickt. Auch wenn eine URL auf den ersten Blick bekannt aussieht, so muss man doch genau prüfen, ob der Link tatsächlich auf die angegebene Seite geht.

3. Wird in der E-Mail auf ein aktuelles Ereignis oder ein derzeit angesagtes kulturelles Thema Bezug genommen?

Der Commtouch’s quarterly Internet Threats Trend Report weist darauf hin, dass Hacker häufig aktuelle Nachrichtenthemen eines Tages oder der laufenden Woche verwenden, um die Empfänger dazu zu verleiten, E-Mails zu öffnen oder auf Links zu klicken. Das Gleiche gilt für aktuell angesagte kulturelle Themen.

Deshalb ist ein dritter Schritt beim Erkennen von Phishing-Mails die Frage: Warum bekomme ich diese Information über aktuelle Ereignisse (Hast Du Dich für eine automatische Nachrichtenzusammenfassung registriert)? Von wem kommt die Information (Stammt die Mail aus einer Quelle, die Du kennst und der Du vertraust?) Und ist die URL innerhalb des E-Mail-Texts sicher, wenn man darauf klickt? Wenn Du also eine Mail bekommst, deren Betreffzeile zwar interessante Neuigkeiten zu einem aktuellen Thema enthält, Du dich aber für derartige E-Mail-Benachrichtigungen gar nicht registriert hast, dann öffne die Mail lieber nicht.

4. Wenn es so aussieht, dass Mail von einer Person oder eine Firma stammt, die Du kennst, bleibt die Frage: Passt die Nachricht vom Ton und vom Aussehen her wirklich zum Absender?

Auch dann, wenn eine Mail anscheinend von einer Person oder Firma stammt, die Du kennst, ist Vorsicht angesagt, bevor Du die Nachricht öffnest oder Links im Text anklickst. Wie oben bereits erwähnt, verwenden Hacker häufig Methoden des „Social Engineering“, wenn es darum geht, Dein Vertrauen zu gewinnen. Deshalb solltest Du immer die E-Mail-Adresse des Absenders prüfen, bevor Du auf Links klickst oder Anhänge speicherst. Und auch dann, wenn der Name des Absenders in Deinem E-Mail-Programm korrekt angezeigt wird, solltest Du noch einmal einen Blick auf die tatsächliche Mail-Adresse werfen, von der die Nachricht versandt wurde. Wenn diese seltsam aussieht, dann lösche die Nachricht, um nicht eventuell doch schädliche Links anzuklicken oder schädliche Programme herunterzuladen.

Vorsichtig sollte man auch bei Links sein, die von E-Mails heraus auf Login-Pages verweisen. Sowohl Logos als auch das vertrauenswürde Aussehen von Websites, lässt sich von Hackern leicht kopieren. Eine Methode von Hackern und Cyberkriminellen, um Dich zur Preisgabe Deiner private Login-Daten für geschützte Seite (z.B. Online-Banking) zu bringen, sind Links zu gefälschten Websites. Diese sehen der echten Website zum Verwechseln ähnlich.

Ein Artikel von Yahoo! Security rät dazu, besonders auf den Namen der Firma zu achten, der auf der möglicherweise gefälschten Website zu lesen ist: „Die Web-Adresse einer Phishing-Site sieht meist korrekt aus, doch in Wirklichkeit enthält sie eine häufig vorkommende Fehlschreibung des Firmennamens oder aber einen Buchstaben oder ein Symbol hinter der Firmenbezeichnung. Achten Sie z.B. auf Tricks wie das Ersetzen des Buchstabens ‚l‘ mit einer ‚1‘ innerhalb der Web-Adresse (z.B. www.paypa1.com statt www.paypal.com)

Der vierte Schritt beim Erkennen von Phishing-Mails ist also der, genau festzustellen, woher eine Mail tatsächlich stammt und darauf zu achten, ob das Design von häufig verwendete Login-Seiten sich auf seltsame Art und Weise verändert hat.

SMiShing: Eine wachsende Bedrohung, vor der man sich in Acht nehmen sollte

Eine zunehmende Zahl von Betroffenen wird Opfer eines Phishing-Angriffs auf ihrem mobilen Endgerät. Laut eines Artikels der T-Mobile Privacy & Security Resources stellt „SMiShing“ eine neue Form des Phishing dar. Ein solcher Fall liegt vor, wenn ein Betrüger Dir eine SMS oder Textnachricht sendet und Dich darin auffordert, sensible persönliche oder auf Finanzfragen bezogene Informationen über einen Web-Link und eine dahinter liegende gefälschte Website oder über eine Telefonnummer preiszugeben.

, , , ,

No comments yet.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.