Fünf Tipps gegen Phishing

Anfang der 1990er Jahre, als die E-Mail als Kommunikationsmittel noch jung war, wurde viel darüber diskutiert, ob die Benutzer auch private E-Mails über das E-Mail-System ihres Arbeitgebers versenden dürfen. Mitarbeiter verschickten damals unangemessene E-Mails z. B. sexistische und rassistische Witze, Werbung für Produkte oder Dienstleistungen für Nebenjobs usw.

Aus diesem Grund wurde eine erste unternehmensweite E-Mail-Richtlinie verfasst, in der festgelegt wurde, was angemessen ist und was nicht. Besonders wichtig war bereits damals die Vermeidung von sexueller Belästigung per E-Mail. Sexuelle Belästigung war an US-Arbeitsplätzen bereits illegal, ganz gleich über welches Medium. Es war nicht so, dass sexuelle Belästigung per Fax oder Textnachricht erlaubt gewesen wäre. Das Problem ist die Botschaft, nicht das Medium. Das Gleiche gilt für Social Engineering und Phishing. Es geht um die Botschaft und nicht um das Medium.

Immer häufiger stellen Experten fest, dass Social Engineering auf andere Weise als durch herkömmliches E-Mail- und Webseiten-Phishing betrieben wird. Heutzutage sind Nutzer über Sprachanrufe, Textnachrichten und soziale Medien Betrug ausgesetzt. Und Betrüger werden immer geschickter darin, die kompromittierten Konten zu nutzen, um gefälschte Spear-Phishing-Nachrichten an die ansonsten vertrauenswürdigen Freunde und Geschäftspartner des Opfers zu senden. Jemandem zu sagen, er solle E-Mails von seltsam aussehenden E-Mail-Adressen und Namen einfach meiden, reicht heutzutage einfach nicht mehr aus, um Phishing zu verhindern.

Fünf Anzeichen für einen Phishing-Angriff, unabhängig vom Medium

Hier sind fünf Anzeichen, anhand denen jeder erkennen kann, ob es sich bei einer Nachricht möglicherweise um einen Social-Engineering-Betrug handelt, unabhängig vom Medium:

1. Die Nachricht ist unerwartet.
2. Der Absender fordert Sie auf, etwas zu tun, was Sie noch nie getan haben.
3. Was von Ihnen verlangt wird, könnte für Sie selbst oder Ihr Unternehmen schädlich sein.
4. Sie werden aufgefordert, sofort zu handeln, um ein negatives Ereignis zu verhindern.
5. Bei Online-Medien enthält sie einen Dateianhang oder einen URL-Link.

Wenn die ersten drei Anzeichen sichtbar werden, sollte der Empfänger die Nachricht als verdächtig einstufen. Es gibt Phishing-Nachrichten, die nicht alle diese Anzeichen enthalten, und legitime Nachrichten, die wiederum alle aufweisen. Wenn eine Nachricht jedoch mindestens drei dieser Merkmale aufweist, sollte der Empfänger in erhöhter Alarmbereitschaft sein. Im Folgenden werden die fünf Anzeichen genauer betrachtet.

1. Die Nachricht ist unerwartet

Der Empfänger hat die E-Mail, die Nachricht oder den Anruf nicht erwartet. Sie kam aus heiterem Himmel. Dies gilt nicht für alle Phishing-Angriffe, da einige raffinierte Betrüger bereits laufende Transaktionen für ihre Betrügereien nutzen. Ein gängiges Beispiel hierfür ist der Hypotheken-Treuhandbetrug. Bei diesen Betrügereien werden Immobilienkäufer, die einen Kredit aufnehmen, häufig aufgefordert, eine Treuhand-Anzahlung zu leisten, um einen Hypothekenkredit zu erhalten und die Immobilientransaktion abzuschließen. Die Angreifer sind dafür bekannt, dass sie die Computer von Treuhandagenten ausnutzen, um laufende Immobilientransaktionen ausfindig zu machen. Wenn diese Treuhandzahlungen beinhalten, senden sie dann E-Mails an die Käufer mit betrügerischen Überweisungsanweisungen für diese Zahlung. Die Käufer überweisen die Anzahlung an die falsche Bank. In der Regel dauert es viele Stunden bis Tage, bis jemand merkt, dass die geforderte Zahlung nicht an die richtige Bank überwiesen wurde und dass ein Verbrechen begangen wurde. Die große Mehrheit der Social-Engineering-Angriffe betrifft jedoch Themen, mit denen die potenziellen Opfer überhaupt nicht gerechnet haben.

2. Der Absender bittet Sie, etwas zu tun, was Sie noch nie zuvor getan haben

Die meisten Social-Engineering-Betrügereien fordern die potenziellen Opfer auf etwas für den angeblichen Absender zu tun.

Beispiele hierfür sind:

• Bezahlen einer unerwarteten „Rechnung“
• Erlauben Sie Microsoft, sich in Ihren Computer einzuloggen, um ein Virenproblem zu lösen
• Überprüfung eines betrügerischen Login-Berichts
• Einen Geldgutschein kaufen, um eine Rechnung zu bezahlen
• Eine verpasste Lieferung umdisponieren
• Geld oder Identitätsdaten senden, um einen Preis oder eine Geldprämie zu erhalten
• Amazon anrufen, um eine Zahlung zu klären
• Zahlung senden, um einen Verwandten vor dem Gefängnis zu bewahren
• Geld senden, um zu verhindern, dass aufgenommene Webcam-Videos veröffentlicht werden, usw.

Jeder Nutzer hat wahrscheinlich bereits unerwartete Rechnungen erhalten. Aber selbst in diesen Fällen weiß der Nutzer in der Regel, worauf sich die legitimen Rechnungen beziehen – er hat es nur vergessen oder nicht bemerkt, dass eine Gebühr involviert war. Bei Betrügereien erhält er eine Anfrage aus heiterem Himmel, und der Nutzer erkennt keine der damit verbundenen Details, außer vielleicht den Markennamen des angeblichen Anbieters. Und wenn der angebliche Anbieter den Nutzer um etwas bittet, um das er ihn noch nie zuvor gebeten hat, z. B. wenn FedEx ihm eine E-Mail schickt und bittet, eine Lieferung zu verschieben, obwohl der Zusteller keinen Zettel mit der Nachricht „Lieferung verpasst“ an der Tür hinterlassen hat, dann ist die Wahrscheinlichkeit groß, dass es sich um eine gefälschte Anfrage handelt.

3. Das, worum Sie gebeten werden, könnte für Sie selbst oder Ihr Unternehmen schädlich sein

Normalerweise versuchen Cyberkriminelle mit Phishing, eines von zwei Dingen zu erreichen. Entweder wollen sie, dass das Opfer unbefugte Informationen preisgibt, wie Anmeldedaten. Es kann sich aber auch um persönliche Informationen handeln, wie Bankdaten, Sozialversicherungsnummern oder Kreditkarteninformationen usw. Oder sie wollen, dass die Nutzer auf einen Link klicken, der dann entweder auf eine betrügerische Website weiterleitet oder einen Dateidownload startet. Der Link oder der Dateidownload enthält Inhalte, die dann einen bösartigen Trojaner ausführen.

4. Es wird impliziert, dass sofort gehandelt werden muss, um ein negatives Ergebnis zu verhindern

Die meisten Phishing-Betrügereien beinhalten „Stressereignisse“, bei denen das Opfer aufgefordert wird, sofort etwas zu tun. Der Betrüger versucht, an den „Kampf- oder Flucht“-Impuls des Opfers zu appellieren. Manchmal besteht das negative Ergebnis darin, dass das potenzielle Opfer auf einen möglichen Gewinn verzichten muss. Manche Betrügereien appellieren an die Gier der Menschen oder an ihren Wunsch, schnell reich zu werden. Ein richtiger Verkäufer sagt vielleicht, dass ein Nutzer schnell reagieren muss, um keinen Verkauf zu verpassen. Aber es wird nicht behauptet, dass der Nutzer, wenn er nicht schnell reagiert, den Zugang zu seinem Konto und das dort gesparte Geld verliert.

5. Bei Online-Medien: Enthält einen Dateianhang oder einen URL-Link

Bei Phishing-Betrügereien per E-Mail, Textnachricht, über soziale Medien oder auf Social-Engineering-Websites enthält der Betrug in der Regel eine gefälschte URL oder einen Dateianhang. Die gewünschte böswillige Aktion besteht darin, das potenzielle Opfer dazu zu verleiten, auf den Link zu klicken oder die Datei herunterzuladen. Aber nicht alle Phishing-Betrügereien enthalten Links oder Dateianhänge. Einige enthalten nur Telefonnummern, die, wenn sie angerufen werden, das Opfer zu einem gefälschten Call-Center oder einer Voicemail führen. In jedem Fall enthält der Betrug immer einen nächsten Schritt, den das potenzielle Opfer jetzt unternehmen muss, um nicht die angedrohten negativen Folgen zu riskieren. In E-Mails und auf Websites enthaltene URL-Links können genauer untersucht werden, um zu sehen, ob die Links zu den legitimen Domänen des angeblichen Antragstellers oder der Marke zurückführen. Aber jede Anfrage, die zwei oder mehr der oben genannten Hochrisiko-Attribute und einen Dateianhang oder Link enthält, erhöht das potenzielle Risiko, dass die Anfrage bösartig sein könnte.

Fazit

Nicht jede unseriöse Anfrage weist drei oder mehr dieser Merkmale auf. Und einige legitime Anfragen weisen wiederum alle diese Merkmale auf. Grundsätzlich gilt, dass jede Anfrage, die drei oder mehr dieser Anzeichen aufweist, ein hohes Risiko darstellt.