Phishing: erkennen und abwehren

Unter Phishing, einer Wortschöpfung aus den beiden Begriffen Password und Fishing, verstehen wir unterschiedliche Angriffsmethoden, die darauf abzielen, durch gefälschte E-Mails, Websites, Programme aber auch Telefonanrufe an Zugangsdaten zu gelangen. Aber auch schadhafte Software, beispielsweise als Anhang einer E-Mail oder Download eines Programms, werden mittels Phishing verbreitet. So fordern vermeintliche Geschäftsführer eine sofortige Überweisung, ein neuer Kollege oder Vorgesetzte möchte Geschenkgutscheine für ein Team-Event kaufen lassen, ein ausländischer Lieferant bittet darum eine Rechnung auf ein anderes Bankkonto zu überweisen, gefälschte Rechnung für nie entrichtete Dienstleistungen, der Anwalt, welcher sensible Informationen benötigt oder die Androhung einer Klage wegen eines angeblich begangenen Rechtsverstoßes. Die Liste ließe sich endlos fortsetzen. Oftmals wird für eine professionelle Phishing-Kampagne auch viel Zeit in Social Engineering investiert, um möglichst viel über die potentiellen Opfer zu erfahren. Je zielgerichteter die Phishing-Methode, sprich je persönlicher sie ist, desto höhere Erfolgschancen hat sie.

Es gibt unterschiedliche Phishing-Technologien und Arten, die von der jeweiligen Zielgruppe abhängen. Die wohl bekannteste Form ist die Phishing-E-Mail. Daneben gibt es das sog. Smishing - Phishing via SMS (oder andere Messenger). Die meisten von uns haben mittlerweile sicherlich Nachrichten von unzähligen Kindern erhalten, von denen sie bis dato nichts gehört hatten, die aber plötzlich die Handynummer wechseln mussten und dringend Geld benötigen. Aber auch Zahlungsaufforderungen oder gefälschte TANs wie auch Nachrichten über unzustellbare Pakete per SMS sind keine Seltenheit. Nicht nur die Technologie ist entscheidend, auch die Art des Phishings variiert je nach Angriff. Beim allgemeinen Phishing über E-Mail werden Firmen-E-Mails geschickt kopiert und an eine große, anonyme Anzahl von Empfängern geschickt. Hier zählt wohl Masse statt Klasse. Die Angreifer hatten wohl keine Zeit oder Lust sich mit dem Opfer eingehend zu beschäftigen. 

Voice-Phishing

Außerdem gibt es das Voice-Phishing oder Vishing: mit Hilfe von teilweise automatischen Anrufen wird versucht an Daten zu gelangen oder Opfer dazu zu bewegen, sensible Informationen preis zu geben. Gerne verwendet wird auch die Betrugsmasche, in der man das Opfer dazu bringen möchte, das Wort „Ja“ zu sagen. Die Anrufe werden aufgezeichnet, natürlich datenschutzwidrig, und der gesprochene Text wird neu zusammengeschnitten. Schon hat man ein lebenslanges Abo auf Kühlschränke oder Toaster abgeschlossen.

Spear-Phishing

Spear-Phishing richtet sich nicht an eine anonyme Masse sondern gezielt gegen einzelne Mitarbeiter. Die Kriminellen spionieren diese aus und können dadurch zielgenaue Phishing-Mails an diese senden.

Whaling

Whaling richtet sich gezielt gegen wichtige Entscheidungsträger in Unternehmen. Diese werden vorher genau ausgeforscht und danach mit scheinbar wichtigen E-Mails unter Druck gesetzt. 

Clone Phishing

Beim Clone Phishing ist es Kriminellen im Vorfeld gelungen, eine E-Mail abzufangen. Diese wird manipuliert und nochmals an denselben Empfänger geschickt. Als Grund wird beispielsweise eine inhaltliche Korrektur genannt.

Man-In-The-Middle Attacke

Und ganz gefährlich: die Man-In-The-Middle Attacke. Diesem Angriff geht voraus, dass es den Kriminellen technisch gelungen ist, sich in den Kommunikationskanal zweier Geschäftspartner einzuschleichen. Dadurch können sie alle E-Mails mitlesen und diese sogar manipulieren. Der Empfänger erhält so eine gefälschte E-Mail von einem echten Absender.
 

Phishing über E-Mails ist aktuell die beliebteste, weil erfolgsversprechendste Lösung.

Angreifer verschicken, oft automatisiert und in unfassbaren Stückzahlen, gefälschte E-Mails an ihre Opfer.
Dabei enthält jede E-Mail eine konkrete Handlungsaufforderung.  In der Regel gibt es einen Link zu einer Website, auf der sich das Opfer einloggen soll oder eine Datei herunterladen muss, oder die Datei wird direkt als Anhang der E-Mail mitgeschickt. Phishing E-Mails sind heute hochprofessionell gestaltet und enthalten, auch Dank aktueller KI, kaum noch Fehler in der Rechtschreibung oder Grammatik. Auch hier hilft die Digitalisierung den Kriminellen Organisationen. Die Zeiten, in denen man gefälschte E-Mails bereits an fehlenden Umlauten oder einer holprigen Sprache erkannt hat, sind definitiv vorbei.

Um die Erfolgschancen bei Phishing-Kampagnen zu erhöhen, werden die E-Mails dementsprechend so gestaltet, dass sie möglichst nicht von echten E-Mails zu unterscheiden sind. Dabei setzen die Angreifer gezielt Informationen ein, welche Sie im Vorfeld erlangt haben.

Absender

Das fängt bereits beim Absender an. Wenn der Angreifer die Dienstleister kennt, kann er schon mit der richtigen Wahl des Absenders die Aufmerksamkeit seines Opfers wecken. Technisch kann der Absender beliebig frei gesetzt werden. Da die Spamerkennung in den letzten Jahren aber deutliche Fortschritte gemacht hat und die Manipulation des Absenders immer weiter einschränkt, benutzen Angreifer ähnliche Absende- und Domainnamen, die auf den ersten Blick übersehen werden. So wird beispielsweise aus der Domain telekom.de plötzlich tele-kom.de oder man wählt eine andere Domainendung, z.b. telekom.tk.

Betreff

Wir machen weiter mit dem Betreff. Dieser enthält meist eine zeitkritische Handlungsaufforderung, die bei Ausbleiben zu negativen Konsequenzen führt. Hier sind der Kreativität wirklich keine Grenzen gesetzt. Von eingeschränkten Konten, über neue Zahlungs-Verfahren, nicht zugestellte Pakete bis hin zum guten alten Millionenerbe eines bis dato unbekannten royalen Verwandten aus weit entfernten Ländern. Das Ziel ist dabei immer gleich: dass das Opfer soll in Zugzwang geraten. Je weniger Bedenkzeit bleibt, desto erfolgsversprechender der Angriff. 

Inhalt

Auch Inhalt der ist mittlerweile professionell manipuliert. Das fängt bereits mit dem Layout einer E-Mail an. Das wird mitsamt des Logos und Corporate Designs nachgebaut. Auch die Wortwahl ist oft identisch. Dann setzen Angreifer, sofern Sie diese Daten vorliegen haben, echte persönliche Angaben oder Daten des Unternehmens ein: eine persönliche Begrüßung mit dem Namen des Opfers, gefolgt von der echten Kundennummer. Je mehr echte Informationen im Text vorkommen, desto weniger Verdacht schöpft das Opfer. Diese E-Mails sind vom Original kaum zu unterscheiden.

Call-To-Action

Es folgt der entscheidende Punkt: Call-To-Action. Wird mit der E-Mail eine schadhafte Datei als Anhang mitgeschickt, so entspricht der Dateiname der Originalsyntax. Und wenn auf einen Link geklickt werden soll, so landet das Opfer auf täuschend echt nachgebauten Websites, auf denen es Zugangsdaten, Kreditkartendaten oder andere sensible Angaben hinterlassen soll. Mittlerweile können diese gefälschten Websites auch Multi-Faktor-Authentifizierungen aushebeln.
 

Zugegeben: Phishing als solchen zu erkennen wird immer schwerer. Es gibt kaum noch „einfache“ Möglichkeiten um sicher beurteilen zu können, ob eine Nachricht gefälscht wurde oder nicht. Selbstverständlich setzen Unternehmen heute moderne Software ein, die Phishing automatisiert erkennt und die E-Mail garnicht erst durchstellt. Doch das ist wie bei Viren ein Katz- und Maus-Spiel. Und mit zunehmendem Einsatz von KI, Stichwort Deepfakes, dürfen wir uns auf eine ganz neue Form von Manipulation vorbereiten.Dennoch gibt es ein paar gute Möglichkeiten, um sich vor Phishing zu schützen.

Grundsätzlichen Sensibilisierung

So blöd das vielleicht klingt. Insbesondere E-Mails können kinderleicht gefälscht werden. Aber auch SMS können mit einem beliebigen Absender verschickt werden. Mit einer grundsätzlichen Sensibilisierung steigt man am vernünftigsten in das Thema Erkennung von Phishing ein.

Absender prüfen

Ansonsten solltest du natürlich den Absender prüfen. Stimmt der Name, stimmt die E-Mail? Hier hilft eine Whitelist im Unternehmen, die häufige Dienstleister und Geschäftspartner mit den jeweiligen Kontaktdaten auflistet.

Inhalt

Auch wenn diese E-Mails mittlerweile fast perfekt gefälscht werden, so gibt es auch hier Anhaltspunkte für Phishing: manchmal fehlen sonst übliche Anreden oder Angaben sind veraltet, manchmal fehlt eine Signatur oder andere Angaben stimmen nicht überein. Vielleicht wird geduzt, obwohl man sich mit dem Geschäftspartner noch immer siezt. Am gefährlisten ist aber der Link oder Anhang. Hier muss man besonders aufpassen. Fährt man mit der Maus über den Link, so erscheint im E-Mail-Programm (meist in der Fußzeile) die sich dahinter verbergende Zielseite. Mit einem Rechts-Klick kann man sich den Link auch kopieren, ohne ihn zu öffnen. Entspricht der Link der erwarteten Domain? Auch hier können Whitelisten helfen.

Plausibilität

Aber auch der Zeitpunkt der E-Mail kann ein Hinweis sein. Der Partner sitzt im Nachbarort, aber die E-Mail ist um 4 Uhr morgens verschickt worden? Klingt zumindest ungewöhnlich. Vielleicht ist der Ansprechpartner zum Zeitpunkt des E-Mails-Versands ja sogar in Urlaub? Oder eine Rechnung, die regelmäßig am Anfang eines Monats kommt und wir aktuell aber den 15. haben. Genauso wie eine Rechnung von einem Dienstleister, mit dem man garnicht zusammenarbeitet. Die Plausibilitätsprüfung kann also ein gutes Indiz für gefälschte E-Mails sein. Es kommt also in erster Linie auf den gesunden Menschenverstand an. 

Wenn du dir sicher bist, dass es sich bei einer Nachricht um Phishing handelt oder du Opfer einer Phishing-Kampagne wurdest, dann möchte ich dir ein paar Tipps auf den Weg geben.

Wenn du den Phishing-Versuch direkt als solchen erkannt hast oder dir zumindest nicht sicher bist, ob es sich um eine gefälschte Nachricht handelt, empfehle ich dir folgendes Vorgehen:

Handlungsaufforderung der Angreifer ignorieren

Selbstredend wirst du keinen Link anklicken, keine Daten preisgeben und auch keinen Anhang öffnen.

IT-Abteilung informieren

Du solltest deine IT-Abteilung informieren. Diese kann bekannte Phishing-E-Mails auf eine unternehmensinterne Blacklist setzen oder verdächtige E-Mails intensiver untersuchen.

Kollegen informieren

In der Regel erfolgen Phishing-Kampagnen in ganzen „Schwüngen“ - d.h. nicht nur du hast eine Nachricht erhalten, sondern auch die Kolleginnen und Kollegen. Kläre, wie du diese Warnen kannst.

E-Mail löschen / als Spam markieren

Je nach vereinbartem Prozess wird die Nachricht gelöscht, archiviert oder als Spam markiert.

Bist du jedoch auf eine Phishing-Nachricht hereingefallen, so muss das Vorgehen im Einzelfall geprüft werden:

IT, ISB & ggf. DSB informieren

Definitiv solltest du sofort die IT informieren. Ggf. sind auch der ISB oder DSB hinzuzuziehen - je nachdem, was geschehen ist und welche Daten in Gefahr sind.

Abwerhmaßnahmen definieren

Im Anschluss werden passende Abwehrmaßnahmen getroffen: auch hier hängt es davon ab, was geschehen ist. Müssen Zugangsdaten geändert werden oder muss im Netzwerk nach verdächtigen Aktivititäten gesucht werden? Manchmal werden auch ganze Netzwerksegmente offline genommen, um diese gezielt nach einem Angreifer zu untersuchen. 

Kollegen informieren

Natürlich sollten auch in diesem Fall Kolleginnen und Kollegen informiert werden - schließlich sind die Angreifer ein gutes Stück weiter gekommen.

Wachsam bleiben

Selbst wenn schnell gehandelt und das Kennwort beispielsweise geändert wurde. Die Angreifer wissen nun, dass sie mit ihrer Kampagne zumindest kurzweilig Erfolg hatten. Sie werden es sicherlich auf eine andere Art und Weise wieder versuchen.