Mit Checkliste für schnelle Antworten

Wie Sie Phishing erkennen

Uhr
von Coen Kaat

Ein reicher Fundus an Tippfehlern? Leider ist das nicht mehr genug, um heutzutage Phishing-SMS und -Mails zu entlarven. Dieser Beitrag zeigt, wie Cyberkriminelle ihre Opfer überlisten wollen und woran man Phishing (fast) immer erkennt.

(Source: Andreus/iStock.com)
(Source: Andreus/iStock.com)

Phishing. Das Wort sieht auf den ersten Blick so aus, als ob der Schreiber erneut die Schulbank drücken sollte. Der Begriff bezeichnet jedoch eine Form des Cyber-Betrugs und ist sehr passend gewählt. Im Prinzip funktioniert die Masche nämlich folgendermassen: Wie beim Fischen werfen Cyberkriminelle einen Köder aus. Oft handelt es sich dabei um eine E-Mail oder eine SMS. Die Nachricht ist so gestaltet, dass der Empfänger oder die Empfängerin auf einen Link klicken soll. Dieser führt zu einer manipulierten Website und dem eigentlichen Ort des Verbrechens. Hier soll das Opfer etwa in einem gefälschten Login-Fenster seine Zugangsdaten eintippen oder eine Software herunterladen oder die eigene Sicherheit auf andere Art und Weise kompromittieren.

Die Cyberkriminellen setzen vor allem zwei Instrumente ein, um das Opfer zu einem falschen Klick zu bewegen: Vertrauen und Druck. Das falsche Vertrauen bauen sie auf, indem sie den Auftritt bekannter Firmen nachahmen. Ein beliebtes Sujet der Betrüger sind Paketdienste. In einer E-Mail wird beispielsweise ein Problem bei der Verarbeitung eines Pakets am Zoll erwähnt. Daher solle man innerhalb der nächsten 24 Stunden auf den Link klicken und die Lieferangaben bearbeiten. Hier kommt der Druck ins Spiel. Mit der kurzen Deadline versuchen die Cyberkriminellen, das Opfer zu unüberlegtem Handeln zu bewegen. Wer überstürzt handelt, achtet weniger auf die Sicherheit.

Innerhalb vom Phishing unterscheidet man auch gewisse Unterformen. Als Spearphishing bezeichnet man gezielte Phishing-Versuche auf bestimmte Personen. Zielen die Attacken auf besonders lohnende Ziele ab wie etwa den CEO einer Firma, spricht man auch von Whaling. Pharming ist eine Weiterentwicklung von Phishing. Dabei werden DNS-Anfragen von Browsern manipuliert, um das Opfer auf gefälschte Websites umzuleiten. Ferner gibt es noch Wortkombinationen wie Smishing (aus SMS und Phishing) oder Vishing (aus Voice beziehungsweise VoIP und Phishing).

Die Taktik wird zu den Methoden des Social Engineering gezählt. Mehr dazu können Sie hier lesen.

Die Merkmale von Phishing

Wer an Phishing denkt, denkt wohl zunächst an eine schlecht geschriebene Nachricht, die voller Fehler ist. Das stimmt aber leider nicht immer. Neben diesem billig produzierten Massenbetrug gibt es unterdessen auch sehr professionelle Phishing-Versuche. E-Mails, die den echten Benachrichtigungen von Linkedin, Amazon, Post und Co. zum Verwechseln ähnlich sind und in fehlerfreiem Deutsch verfasst wurden.

Tippfehler und offensichtlich durch Übersetzungstools verarbeitete Nachrichten sieht man zwar immer seltener. Aber hierzulande kann dafür etwas anderes auf Phishing hindeuten: Wenn eine angebliche Schweizer Firma das deutsche Eszett (ß) nutzt statt "ss" schreibt. Das liegt daran, dass Phishing nach wie vor mehrheitlich ein Massengeschäft ist und dass die Betrüger sich den feinen Unterschieden zwischen den einzelnen deutschsprachigen Ländern nicht bewusst sind. Für sich genommen, ist dies allerdings noch kein Beweis für Phishing - schliesslich wissen auch nicht alle Schweizer Firmen, dass man hierzulande kein Eszett verwenden sollte.

Eine weitere Konsequenz der massenhaften Natur von Phishing ist die fehlende Personalisierung. Das heisst, das Opfer wird nicht mit dem Namen angesprochen. Stattdessen steht nur "Hallo", "Guten Tag", "Sehr geehrte Damen und Herren" oder etwas Vergleichbares. Wer seinen kompletten Namen in seiner E-Mail-Adresse nutzt, sollte jedenfalls aufpassen. Denn so lässt man sich automatisch auslesen. Der Name wird allerdings exakt so wiedergegeben, wie er in der E-Mail-Adresse steht. Wer also nicht den vollständigen Namen in der Adresse nutzt - zum Beispiel "m.muster" statt "max.muster" - wird auch so angeschrieben: "Hallo M Muster" oder sogar "Hallo M.Muster".

Gewisse Anzeichen weisen jedoch mit an Sicherheit grenzender Wahrscheinlichkeit auf Phishing hin. Dabei handelt es sich um die URL, auf die man klicken soll. Hier lohnt es sich, sehr genau hinzuschauen! Es ist möglich, eine legitime Website zu hacken und zu missbrauchen. Sehr viel einfacher (und daher auch häufiger) ist es allerdings, eine neue Website aufzubauen und das Opfer zu täuschen. Schwebt man mit dem Mauszeiger über den Link, sieht man aber bereits, wo dieser hinführt - ohne ein Risiko eingehen zu müssen. Aller Wahrscheinlichkeit nach hat die URL überhaupt keine Ähnlichkeit mit der Website, die man eigentlich besuchen will. Auch die URL in der E-Mail-Adresse des Absenders sollte genau geprüft werden.

Für schnelle Antworten: die Phishing-Checkliste. (Source: Netzmedien)

Es kann aber auch sein, dass sich die Betrüger ein wenig Mühe geben. In solchen Fällen lautet die URL beispielsweise: "microsoft.realgermanmicrosoftsupport.com". Hierbei handelt es sich jedoch nicht um eine Support-Unterseite von microsoft.com, sondern um eine als "Microsoft" bezeichnete Unterseite der fiktiven URL "realgermanmicrosoftsupport.com" - eine Website, die wohl nichts mit dem US-amerikanischen Konzern zu tun hat. Populär sind auch Buchstabenverdreher: Dass eine URL wie "mircosoft.com" betrügerisch sein könnte, fällt auf den ersten Blick vielleicht gar nicht auf.

Manchmal werden die Betrüger aber auch richtig kreativ. Etwa, wenn sie Buchstabenkombinationen suchen, die wie andere Buchstaben aussehen. Wie beispielsweise "r" und "n" statt "m". Wer den Betrugsversuch bei "Arnazon" erkennen will, muss - je nach Schriftart - schon sehr genau hinschauen.

Natürlich darf man aber nicht vergessen, dass hinter den Benachrichtigungen von Firmen auch nur Menschen stecken. Menschen, die nicht immer an alles denken und manchmal Fehler machen. So kann es durchaus vorkommen, dass eine Nachricht mehrere Anzeichen einer Phishing-Attacke enthält und trotzdem legitim ist.

Dies zeigen etwa die Taskforce-Omikron-SMS der Kantonspolizei Zürich, wie Sie hier lesen können.

Das Vorgehen, wenn man gephisht wurde

Was macht man, wenn man eine Phishing-Mail in der eigenen Mailbox entdeckt hat? Nicht draufklicken und nicht antworten! Falls dieser Hinweis bereits zu spät sein sollte - und man schon irgendwelche Daten eingegeben hat, sollte man diese schleunigst ändern: Passwörter zurücksetzen, Kreditkarten sperren. Das Nationale Zentrum für Cybersicherheit betreibt auch eine Kontaktstelle, der man Phishing-Vorfälle melden kann: www.antiphishing.ch. Betroffene können fragliche E-Mails weiterleiten und verdächtige Websites melden.

Und noch ein Fun Fact zum Schluss: Die Schreibweise mit "Ph" statt "F" ist kein Zufall. Es ist eine Anlehnung an das Wort "Phreaking". Also das Vorgehen der ursprünglichen Hacker, die versuchten, die Sicherheitsmechanismen der Telefonie auszuhebeln - zu denen auch Apple-Mitgründer Steve Wozniak gehörte. Der Begriff "Phreaking" wiederum entstand aus der Kombination von "Freak" mit dem "Ph" von "Phone".

Die Phishing-Checkliste für schnelle Antworten

  • Fehlt in der E-Mail eine persönliche Anrede?

  • Erhalte ich diese E-Mail unerwartet?

  • Versucht der Absender, Druck aufzubauen?

  • Ist der Text voller Tippfehler?

  • Verwendet ein angeblich Schweizer Absender "ß" nutzt statt "ss"?

  • Führt der Link zu einer seltsamen URL? Oder kommt die E-Mail von einer E-Mail-Adresse mit einer komischen URL?

  • Ist der Firmenname in der URL falsch geschrieben?

  • Ist der Firmenname in der URL eine Unterseite einer fremden Website (d.h. der Name steht nicht direkt vor .com oder .ch usw.)?

Je häufiger Sie auf diese Fragen mit "Ja" antworten können, desto wahrscheinlicher handelt es sich bei der untersuchten Nachricht um einen Phishing-Versuch. Bleiben Sie sicher!

Wer das Gelernte nun prüfen will, kann hier einen kniffligen Phishing-Test von Google ausprobieren.

 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_250188

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter