Fischers Fritz phisht frische Daten

In der digitalen Arbeitswelt gehört Cyberkriminalität zum Alltag, wie eine Miss Moneypenny-Umfrage: Über 20 Prozent der Firmen wurden schon mal gehackt. In privaten Haushalten sind die Zahlen sogar noch höher. Mehr als 50 Prozent der Internetbenutzerinnen und -nutzer gaben an, bereits Erfahrung mit Cyberkriminalität gemacht zu haben. Das ist wenig wunderlich: Drei Viertel aller weltweit versendeten E-Mails sind Spam oder Phishing. Obwohl mittlerweile vermutlich jeder Computer mit Spamfilter und Sicherheitssoftware ausgestattet ist, landen dennoch zehn Prozent unerwünschte E-Mails im ­eigenen Posteingang.

Unterschieden werden bei unerwünschten E-Mails drei Typen:  

Spams sind meist reine Werbung und werden mit keinem ­kriminellen Hintergedanken verschickt. Phishing sowie Spear-Phishing werden indes mit bösartiger Absicht verschickt, wobei Spear-Phishing auf eine eng abgegrenzte Benutzergruppe abzielt – beispielsweise eine bestimmte Firma. Die Absicht sowohl von Phishing wie Spear-Phishing: Diebstahl von Passwörtern, Zugang zu Bankkonten oder Firmengeheimnissen.

Die Gefahr hinter gefälschten E-Mails

Woran erkennt man nun, dass ein E-Mail ein Phishing ist? Hier einige Anhaltspunkte, um die Nachricht zu überprüfen:

• Die E-Mail-Adresse sieht komisch aus. Die Absender fälschen die Absenderadresse so gut, dass sie einem tatsächlich existierenden Unternehmen ähnlich sieht, beispielsweise regula.schweizer@ihrefirma.ch-host.net
• Oft wird zu einem schnellen Handeln aufgefordert und Druck aufgebaut
• Mitunter kann die Anrede unpersönlich sein
• Es werden Daten abgefragt oder es wird um Geld gebeten
• Links und Anhänge sind enthalten
• Das E-Mail kann sprachliche Fehler oder eine verzerrte Formatierung enthalten

Besonders Punkt eins sollte ganz genau überprüft werden, wenn eine Anfrage merkwürdig erscheint. Nutzerinnen und Nutzer können sich dafür die genauen Absenderdetails im Kopf des E-Mails anzeigen lassen. Gibt es ein «Antwort an»-Feld? Wenn beispielsweise ein Mitarbeiter oder eine Mitarbeiterin der eigenen Firma mit Schadsoftware infiziert worden ist, kann so eine Antwort umgeleitet werden.

Steht bei den Absenderdetails nach der E-Mail-Adresse des Absenders «gesendet via» oder «über»? Das kann sogenanntes «Spoofing» sein. Dafür werden separate Dienste genutzt, die auf den ersten Blick eine vertrauenswürdige Absenderadresse anzeigen, bei genauem Hinsehen aber einen komplett anderen Absender preisgeben.

Wenn Links enthalten sind, sollte man vor dem Anklicken überprüfen, ob sie Schreibfehler enthalten oder generell merkwürdig aussehen. Dafür können Nutzerinnen und Nutzer mit der Maus einige Sekunden über den Link fahren. Wurde ein gefälschter Link schon im Browser geöffnet, sollte man das Gerät umgehend vom Internetzugang trennen und die IT-Abteilung informieren.

Auch generell sollten die Kolleginnen und Kollegen von der IT lieber einmal zu viel als einmal zu wenig bei der Kontrolle von E-Mails zu Rate gezogen werden. Kommt ein E-Mail zwar von einem offenbar bekannten Absender, aber erscheint nicht stimmig, lohnt es sich, direkt beim Absender nachzufragen – jedoch nicht über die in dem E-Mail enthaltenen Kontaktinformationen, sondern über offizielle Kommunikationswege. 

Ansonsten gilt für dubiose E-Mails:

• Keine Bilder in dem E-Mail nachladen oder Dateien aus dem E-Mail herunterladen
• Keine Links anklicken
• Nicht auf das E-Mail antworten, denn so können Cyberkriminelle herausfinden, dass die E-Mail-Adresse tatsächlich existiert. Z.B.: Sie werden darum gebeten, das Virusprogramm auf Ihrem Diensthandy wegen Cyberangriffen zu aktualisieren – Sie besitzen aber gar kein Diensthandy
• Nicht an Kolleginnen und Kollegen weiterleiten, um sie zu warnen. Schreiben Sie dafür ein separates E-Mail.

Ähnliche Tricks werden aktuell auch bei physischer Post angewendet. An Haushalte in der Schweiz wurden vor kurzem Briefe versendet, die scheinbar von der Bezahl-App «Twint» als Absender stammten. Dazu wurden Personen – unabhängig davon, ob sie die App nutzen oder nicht – aufgefordert, einen QR-Code einzuscannen und ihre Bankverbindung zu bestätigen. Laut Aussagen der Twint AG bestünde keine Gefahr, wenn man den QR-Code mit der App ausliest. Wird jedoch die hinterlegte Seite anderweitig besucht, beispielsweise bei Verknüpfung über den Browser, können Twint-Zugangsdaten und Bankdetails abgefragt werden. Der Schwindel fiel bei genauerem Hinsehen nur aufgrund von Rechtschreibfehlern im Brief auf.

Die gezielte Attacke

Spear-Phishing ist eine spezialisierte Form des Phishings, bei der Angreifende gezielt einzelne Personen in einem Unternehmen ins Visier nehmen. Besonders Assistenzen und Office-Manager, die oft Zugriff auf sensible Daten oder interne Kommunikationskanäle haben, sind hier gefährdet.

Anders als bei herkömmlichen Phishing-Attacken sind Spear-Phishing-E-Mails auf den Empfänger zugeschnitten. Angreifende recherchieren oft auf Social-Media-Plattformen oder auf den Webseiten des Unternehmens, um Details über die Zielperson zu erfahren. Die E-Mails wirken dadurch besonders glaubwürdig. Auch hier gilt: Bei besonderer Dringlichkeit ist Wachsamkeit vonnöten.

Bestätigen Sie diese Anfragen immer nochmals persönlich oder über offizielle Kommunikationskanäle. Gut funktionierende, interne Kommunikation ist bei solchen Angriffen deshalb das A und O: Sorgen Sie dafür, dass innerhalb des Teams klare Kommunikationswege bestehen, um verdächtige Anfragen verifizieren zu können. Präventiv ist auch eine Zwei-Faktor-Authentifizierung ratsam: Diese Methode erhöht die Sicherheit von Online-Konten erheblich, indem neben dem Passwort ein weiterer Sicherheitscode zum Einloggen erforderlich ist.