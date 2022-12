Heise Security steht immer wieder in Kontakt mit Lesern, die auf Phishing-Mails reingefallen sind. Heutzutage kann man den Opfern nicht mehr so einfach vorwerfen, achtlos gewesen zu sein. Schließlich sind die Zeiten von Mails mit kruden Formulierungen und etlichen Rechtschreibfehlern längst vorbei.

Zwar gibt es diese auffälligen Fakes vereinzelt immer noch, doch sind Formulierungen und Grafik in Phishing-Mails inzwischen so gut gemacht, dass sogar Sicherheitsexperten zwei- oder sogar dreimal hingucken müssen, um den Betrug aufzudecken. So schärfen Sie Ihren Blick für Betrüger-Mails.

In der Vorweihnachtszeit häufen sich Spam-Mails mit angeblichen Gratis-Gutscheinen, Spenden an Wohltätigkeitsorganisationen oder angeblich ablaufenden Abos, die man unbedingt erneuern muss. Aber auch Betrüger-Mails über Kryptowährungen, angeblichen Online-Einkäufen und DHL-Versandbenachrichtigungen sind in dieser Zeit bei Kriminellen beliebt.

Hintergrund

Phishing-Mails sind eine Form von Social-Engineering-Attacken. Darüber wollen Kriminelle bei Opfern vor dem Hintergrund von etablierten Marken wie Amazon, Internetbanken & Co. Vertrauen erwecken, um letztlich Zugangsdaten zu bekommen. "Phishing" verweist auf die Absicht der Kriminellen: sie wollen Passwörter abfischen.

Bild 1 von 5 Phishing-Mails (5 Bilder) Gerade in der Vorweihnachtszeit ein beliebter Köder: DHL-Mails mit Fake-Paketen.

(Bild: Verbraucherzentrale.de )

Oft versuchen sie darüber aber auch Trojaner auf Computer zu bringen. Derzeit sind solche Mails immer noch der am meisten genutzte Weg für die Verbreitung von Erpressungstrojanern. In der Regel hängt an solchen Nachrichten ein Office-Dokument mit Makros. Öffnet man es und aktiviert die Makros, landet der Schädling auf dem Computer.

Typische Maschen

Damit solche Mails glaubhaft wirken, setzen Betrüger nicht nur auf korrekte Rechtschreibung und eine überzeugende optische Gestaltung (siehe Bilderstrecke), sondern auch auf psychologische Komponenten. Die Nachrichten sollen bei Empfängern bewusst Druck aufbauen und drohen etwa mit einer Kontosperrung, wenn man einen Artikel nicht sofort bezahlt. Manchmal sollen aber auch angeblich pikante, private Details für Druck sorgen. Opfer sollen denken, dass sie sofort handeln müssen. Vom Druck erhoffen sich Betrüger eine noch effektivere Verschleierung des Betrugs und natürlich eine erhöhte Bereitschaft vom Opfer, seine Daten preiszugeben.

Bitdefender zufolge setzen Kriminelle nach wie vor auf SMS-Nachrichten mit Links zu Phishing-Websites, um Zugangsdaten für Onlinebanking abzufischen. (Bild: Bitdefender)

Dafür soll ein Opfer auf einen Link in der Mail klicken, um etwa Log-in-Daten auf einer ebenfalls gefälschten Websites unter dem Deckmantel eines legitimen Anbieters einzugeben. Auch wenn diese Masche schon älter und eigentlich jedem bekannt sein dürfte, passiert das weltweit offensichtlich immer noch millionenfach.

In der Geschäftswelt gibt es noch sogenannte "Spear Phishing"-Mails. Dabei handelt es sich um auf bestimmte Personen und Unternehmen maßgeschneiderte Nachricht. Für solche Mails recherchieren Betrüger oft länger über Firmen und knüpfen etwa an bestehende Projekte an, um die Glaubwürdigkeit zu steigern.

Das kann aber auch eine Fake-Bewerbung auf eine wirklich ausgeschriebene Stelle sein. Bei Heise Medien hatten wir es zuletzt mit Payroll-Scam-Nachrichten zu tun. Darin schreibt ein Betrüger in Namen eines Mitarbeiters die Personalabteilung an und teilt eine neue Kontonummer für die Gehaltsüberweisung mit. Es wird also immer schwieriger, Phishing-Mails auf den ersten Blick zu erkennen.

Status Quo

Erschwerenderweise kommt hinzu, dass heutzutage jeder eine überzeugende Phishing-Kampagne starten kann: "Malware-as-a-Service" heißt das neudeutsch; in Untergrundforen werden komplette Phishing-Pakete angeboten. Die enthalten unter anderem einen Editor zum Erstellen der Texte inklusive grafischen Baukästen mit Logos von legitimen Anbietern. In manchen Fällen ist sogar die Server-Infrastruktur dabei, sodass man direkt mit dem Versand loslegen kann. Die Anbieter solcher All-in-one-Baukästen kassieren dann Provisionen. Derzeit kursieren bereits erste Phishingmails, die Betrüger mit dem Chatbot ChatGPT erstellt haben.

Einer aktuellen Studie vom Anbieter für Anti-Viren-Software Bitdefender zufolge setzen Cyber-Kriminelle nach wie vor SMS-Nachrichten als Spam-Medium. Da geht es dann unter anderem um angebliche Erstattungen von Stromkosten.

Gegenmaßnahmen

In der Regel ist der alleinige Empfang einer Spam-Mail nicht gefährlich. Generell gilt, dass man auf keine Links in Mails klicken sollte. Auch das Öffnen von Dateianhängen sollte man vermeiden. Zudem sollte man nicht auf solche Mails antworten.

Doch gerade in der Geschäftswelt ist das mit dem Nichtöffnen von Anhängen problematisch. In so einem Fall ist ein kurzer Anruf beim jeweiligen Kollegen sinnvoll, ob er wirklich eine Datei verschickt hat. Das kostet zwar etwas Zeit, aber vor dem Hintergrund, dass nur wenige Klicks ein Unternehmen in den IT-Abgrund stoßen können, sollte man sich diese Zeit nehmen.

Admins sollten auf Mail-Servern effektive Filterregeln implementieren und Dateianhänge vor der Zustellung untersuchen und gegebenenfalls direkt in Quarantäne verschieben. Wer sich unsicher mit einer Mail ist, sollte die Admins kontaktieren und sich eine Einschätzung abholen.

Außerdem sollte man beim Absender genau hinsehen. Oft sind Namen von angeblichen Absendern noch glaubhaft, aber die Mail-Adresse ist kryptisch. Vertrauen Sie "Peter Mayer <irojas61@paux.cdmx.gob.mx>" besser nicht.

Wer noch weitere Informationen benötigt, die bei der Beurteilung einer E-Mail helfen können, kann sich im Header der E-Mail umschauen. Dort findet man unter anderem auch die IP-Adresse des Absenders, die man überprüfen kann. Etwa im Mailclient Thunderbird ruft man den Header über „Ansicht“, „Nachrichten-Quelltext“ auf.

Achten Sie darüber hinaus auch immer noch auf Schreib- und Formatierungsfehler in Mails. Schließlich kommen viele Phishing-Mails aus dem Ausland und sind manchmal krude übersetzt. Auch das Fehlen des echten Namen eines Opfers in der Anrede ist ein Indiz für eine Betrüger-Mail. Generell gilt, dass vor allem Onlinebanken keine Passwörter oder PINs via Mail abfragen. Ist das der Fall, sollte man stutzig werden.

Weiterführende Informationen zum Enttarnen von Betrüger-Mails finden Sie in der Titelstory "Mailen ohne Phishing-Gefahr" in c't 19/2022.

(des)