Phishing und betrügerische Nachrichten

Phishing (vom englischen Wort fishing, deutsch: Angeln), das Fischen nach persönlichen Daten ist die wohl häufigste Form des Betrugs im Internet. Es kann jeden und jede treffen. Über gefälschte Websites, E-Mails oder Nachrichten wird versucht, z. B. an die Bankdaten einer Person zu gelangen oder sie zu einer Aktion zu bewegen, die sich negativ auf sie selbst, ihre Kolleg:innen oder das gesamte Unternehmen, in dem sie arbeitet, auswirkt.  So wie Fischer:innen ihre Netze auswerfen und den Fang im Anschluss begutachten, so fischen Schurken im Netz nach persönlichen Informationen. Ihre Köder sind Falschmeldungen und psychologische Tricks. Sie versuchen sehr gezielt, das Verhalten von Menschen zu beeinflussen. Das nennt man "social engineering".

Ich liebe dich! – „Kindly check the attached LOVELETTER coming from me“ (deutsch: „Sieh dir den LIEBESBRIEF, den du von mir erhalten hast, an“).

Weltweit öffneten am 4. Mai 2000 Millionen von Büroangestellten den Anhang des erhaltenen E-Mails mit dem vermeintlichen Liebesbrief. Was sie nicht wussten: Es handelte sich dabei um Computerviren, die mit dem „Lovebug“ verbreitet wurden. Viren, die sich per E-Mail verbreiteten, hatte es auch zuvor schon gegeben. Doch hier wurde zum ersten Mal in der Geschichte social engineering (der angebliche Liebesbrief) mit raffinierter Technik, die sich im E-Mail Adressbuch neue Kontakte suchte, um sich so weiterzuverbreiten, kombiniert. Und bislang hatte kein Angriff so großen Schaden angerichtet: Ca. 50 Millionen Computer waren innerhalb kurzer Zeit befallen.

Sieh dir dieses kurze Video an. Darin erklärt der Experte Linus Neumann, dass Phishing alle treffen kann.

Ziel von Phishing Angriffen ist immer, das Wissen über typisch menschliches Verhalten (z. B. die Bereitschaft, jemandem telefonisch weiterzuhelfen, dem Absender einer geschäftlichen E-Mail zu vertrauen, Druck zu machen, weil eine Überweisung schnell getätigt werden soll oder Neugierde zu wecken) für unlautere Zwecke auszunutzen, beispielsweise, indem sich Schadsoftware in einem Dokument im Anhang einer E-Mail befindet oder man auf eine gefälschte Seite gelockt wird und dort vertrauliche Informationen preisgibt.

Phishing in all seinen Varianten stellt ein Risiko für Privatpersonen und Organisationen dar und kann zu Problemen, häufig sogar zu großen finanziellen Verlusten, führen, wenn

• sensible Daten weitergegeben werden: Eine eingehende Nachricht enthält die Aufforderung, sensible Informationen wie Zugangsdaten oder schützenswerte Dokumente zu übermitteln.

• Überweisungen getätigt werden: Überweisungen an vermeintliche Geschäftspartner, Behörden o.ä. werden durchgeführt

• betrügerische Links angeklickt werden: Nachrichten können einen oder mehrere gefährliche Links enthalten. Die Links leiten dann z.B. zu einer echt aussehenden, aber gefälschten Phishing Seite, bei der die Eingabe von Login-Daten gefordert wird oder aber zu einer Website, die Schadsoftware auf Geräten installiert.

• Anhänge geöffnet werden: Nachrichten können eine oder mehrere gefährliche Dateien (z.B. Anhang in einer E-Mail) enthalten. Wird die Datei geöffnet, wird auf dem Gerät Schadsoftware installiert.

Die Vorgehensweise, die Angreifer:innen wählen, ist stets die Gleiche – unabhängig davon, welches Ziel sie mit ihrem Betrugsversuch verfolgen: Menschen werden hinters Licht geführt, damit sie unwissentlich Dinge tun, die Ihnen selbst oder einer ganzen Organisation schaden. Technische Schutzmaßnahmen werden bewusst umgangen, indem Menschen benutzt werden, um Zugang zu Netzwerken, sensiblen Informationen und ähnlichem zu bekommen.

Du fragst dich, wie das konkret funktioniert? Sieh dir das folgende Video dazu an. Darin erklärt Linus Neumann an einem Beispiel, wie so ein Trickbetrug ablaufen kann.
 

„Ransom“ ist Englisch und bedeutet Lösegeld. Ransomware (auch „Krypto-Trojaner“ genannt) ist Schadsoftware, die Informationen (zumeist alle vorhandenen Dateien auf einem Datenträger wie der Festplatte eines Gerätes oder in einem Netzwerk) verschlüsselt. Ziel der Angreifer:innen ist es, die Verfügbarkeit von Daten einzuschränken und dafür Lösegeld zu fordern: Der Schlüssel zur Entschlüsselung der Daten muss gekauft werden.

Sehen wir uns die Vorgangsweise am Beispiel eines Büros an: Es werden massenhaft Mails mit schadhaften Anhängen (z.B. Word-Dokument) versendet. Wird der Anhang geöffnet, lädt sich im Hintergrund ein Script mit Schadsoftware, das die Dateien verschlüsselt und damit unbrauchbar macht. Um die Dateien wieder entschlüsseln zu können, wird man aufgefordert, Lösegeld (zumeist in Krypto-Währungen) zu bezahlen.

Unter Account- und Identitätsdiebstahl kannst du dir z.B. die Übernahme eines E-Mail-, PayPal- oder Social Media-Kontos einer Person oder Organisation vorstellen. So funktioniert es: Es werden massenhaft betrügerische Nachrichten, die auf den ersten Blick offiziell und seriös aussehen, verschickt. In Wirklichkeit zielen sie aber darauf ab, Personen in die Irre zu führen und dazu zu verleiten, z.B. sensible Daten wie Passwörter auf einer Phishing-Site einzugeben.

Das Einfallstor sind auch hier zumeist Phishing-Mails. Schadsoftware kommt selten zum Einsatz, da die IT-Systeme von Banken sehr solide sind und hohe Sicherheitsstandards erfüllen. Da technische Unsicherheit also nahezu ausgeschlossen werden kann, sind Betroffene besonders gefordert , die Angriffe zu erkennen – was sich in der Praxis nicht ganz einfach gestaltet, da die betrügerischen Nachrichten oder Seiten oft täuschend echt aussehen: In der Regel sind sie in sehr gutem Deutsch verfasst und gleichen in ihrem Auftritt den Corporate Designs der Banken. Wirst du von einem Bank-Institut aufgefordert, auf einen Link in einer Nachricht o.ä. zu klicken, solltest du aufpassen: Banken fordern ihre Kund:innen grundsätzlich nie dazu auf, Zugangsdaten auf diese Weise preiszugeben! Wenn du dir nicht sicher bist, kannst du bei der Bank nachfragen (z.B. telefonisch), ob sie tatsächlich eine Benachrichtigung an dich versandt hat. Handelt es sich um eine offizielle Nachricht, wirst du darüber informiert, dass dein Bankinstitut eine neue Nachricht für dich hat. Du wirst dazu aufgefordert, in dein Webportal/App einzusteigen, wo du dich zunächst authentifizieren musst – erst dann kannst du die Nachricht ansehen.

CEO-Fraud

Ein besonderer Fall ist der „CEO-Fraud“ (engl., CEO: Geschäftsführer:in, Fraud: Betrug): Eine Nachricht, wie z.B. eine E-Mail, mit der Aufforderung eines/einer Vorgesetzten „Kannst du diese Überweisung bitte schnell und vertraulich erledigen?“. Durch Ausnutzung des Autoritätsverhältnisses und des Vertrauens in den/die Vorgesetzte, sowie das Ausüben von Druck werden Mitarbeiter:innen dazu verleitet, Überweisungen an Kriminelle zu tätigen.

In diesem Video erklärt Linus Neumann anhand von Beispielen, wie CEO-Frauds ablaufen.

• Phishing-Angriffe sind einfach, kostengünstig und effektiv auszuführen.
• Kriminelle verstehen es, menschliche Verhaltensweisen auszunutzen und psychologische Tricks anzuwenden: Mit verschiedenen Sozialtechniken werden Menschen dazu verleitet, unwissentlich schädliche Aktionen durchzuführen, z.B. indem sie ganz intuitiv auf einen Button in einer Mail oder einem Dokument klicken. Damit wird es möglich, technische Sicherheitsmaßnahmen (z.B. Schadsoftwarescanner) zu umgehen – das Einfallstor ist also der Mensch.

• „Ransomökonomie“ ist ein eigenes Geschäftsmodell! So gibt es z.B. die Möglichkeit, ein Dokument gratis entschlüsselt zu bekommen, als  vertrauensbildende Maßnahme sozusagen, Support-Chats, Preise werden „attraktiv“ gestaltet …

Hier gibt Linus Neumann einen Einblick, mit welchen psychologischen Tricks Kriminelle arbeiten, wenn sie erst mal Zugriff auf Dateien erhalten haben.

Wichtig zu wissen: es stimmt im Normalfall nicht, dass – entgegen den Behauptungen – Dateien nicht wiederhergestellt werden bei Bezahlung. In gewisser Weise basiert das Geschäftsmodell auf Vertrauen. Da insgesamt eine Spezialisierung und Differenzierung innerhalb der Branche und der Angriffe zu beobachten ist, ist es wichtig, aufmerksam zu sein und sich zu informieren!

Hundertprozentige Sicherheit können wir leider niemals erreichen, aber es gibt einige wichtige Punkte, die du beachten solltest, um das Risiko, auf einen Phishing-Angriff hereinzufallen, zu verringern: Zum einen gibt es technische Möglichkeiten, die einfach umzusetzen sind, wie zum Beispiel regelmäßige Software-Updates oder die Installation eines Schadsoftwarescanners. Zum anderen ist es wichtig zu wissen, dass technische Schutzmaßnahmen alleine nicht ausreichen und du daher aufmerksam sein musst. Wenn du diese 12 Tipps befolgst, bist du auf einem guten Weg!

Du kannst diese 2 Postervarianten mit den Tipps gegen Phishing als PDF herunterladen, ausdrucken, aufhängen, verschicken etc.

Link zum PDF mit beiden Varianten als A2 Plakate.