In Unternehmen ist Phishing seit langem als Problem erkannt worden und dementsprechend hoch ist die Sensibilität der meisten Arbeitnehmer beim Umgang mit suspekten E-Mails – ganz anders dagegen im privaten Bereich. Noch immer fallen zu viele Menschen auf die Tricks der Cyberkriminellen herein. SpardaSurfSafe, eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, zeigt, warum jeder zum Opfer von Phishing-E-Mails werden kann, welche Ziele die Hintermänner verfolgen und auf welche Warnsignale man achten sollte.
Einer offiziellen Erhebung zufolge haben im Jahr 2020 87 Prozent der Deutschen das Internet zum Versenden und Empfangen von E-Mails genutzt. Das sind bei einer Gesamtbevölkerung von 83,24 Millionen Menschen etwa 72,419 E-Mail-Nutzer – und der Anteil derjenigen, die über eine E-Mail-Adresse verfügen, diese aber nicht aktiv nutzen, dürfte sogar noch höher sein. Für Cyberkriminelle ergibt sich daraus eine Vielzahl potenzieller Opfer. Nun wird sich manch einer angesichts dieser Zahlen fragen, warum ausgerechnet er zum Phishing-Opfer werden sollte – schließlich gibt es doch viel interessantere Ziele. Die Antwort ist so einfach wie erschreckend: Beim Phishing gegen Privatpersonen spielt es für Cyberkriminelle überhaupt keine Rolle, wen sie erwischen, solange die Menge an Opfern nur ausreichend groß ist. Während Phishing-Kampagnen gegen Unternehmen mittlerweile meist ausgefeilt und zielgerichtet stattfinden, gehen sie gegen Privatleute eher nach dem Gießkannenprinzip vor. Das bedeutet, sie schreiben mit einer standardisierten E-Mail eine große Menge an und hoffen auf möglichst regen Rücklauf. Die notwendigen Adressverteiler stammen oft von gehackten Unternehmen, die im Darknet von anderen Kriminellen erworben werden.
„Leider wird jeder, nur durch den Besitz einer E-Mail-Adresse, zum potenziellen Phishing-Opfer. Ob man Informationen besitzt, viel Geld hat oder sonst irgendwie wichtig ist, spielt dabei keine Rolle. Das sollte sich jeder Einzelne bewusst machen“, erklärt Götz Schartner vom Verein Sicherheit im Internet e.V., einem der Mitveranstalter von SpardaSurfSafe Ein Beispiel: Cyberkriminelle haben eine umfangreiche Liste mit E-Mail-Adressen erworben. Sie bereiten eine E-Mail vor, die angeblich von T-Mobile stammt. Im Anhang soll sich eine Telefonrechnung befinden. Tatsächlich enthält das vermeintliche Dokument eine gefährliche Schadsoftware. Diese Mail wird an mehrere Tausend Empfänger verschickt. Diejenigen, die kein Kunde von T-Mobile sind, werden die E-Mail vermutlich als Fälschung erkennen und ignorieren. Doch die Chance ist hoch, dass ein Teil der Empfänger tatsächlich Kunde des Unternehmens ist und den Anhang öffnet. Damit haben die Kriminellen ihr Ziel erreicht und können nach erfolgreicher Infektion beispielsweise Nutzerdaten ausspähen, Daten oder ganze Systeme mit Ransomware verschlüsseln oder die befallenen Geräte einem sogenannten Botnet hinzufügen.
Doch Gefahr droht nicht nur durch manipulierte Dateianhänge. Auch über Hyperlinks wird Schadsoftware verbreitet. Ein entsprechender Download wird schon beim ersten Klick gestartet! Bei einer anderen, nicht minder gefährlichen Variante führt der Link zu einer Seite, auf der Zugangsdaten abgefragt werden, etwa für den E-Mail-Account oder ein Konto bei einem Online-Shop. Auch Bankdaten sind ein beliebtes Ziel. Dafür bauen die Angreifer spezielle Webseiten, die den echten Online-Auftritten der Banken zum Verwechseln ähneln. „Wir sehen: Die Gefahr, auf solche Tricks der Cyberkriminellen hereinzufallen, ist für jeden Einzelnen durchaus gegeben“, fasst Schartner zusammen.
Um zu vermeiden, dass man selbst zum Opfer wird, sollte man also Vorsicht walten lassen und auf folgende Warnsignale achten:
- Die E-Mail stammt von einem unbekannten Absender. Dabei sollte man auch genauer hinsehen, denn manchmal stimmen die angezeigten Namen nicht mit der E-Mail-Adresse überein. Wenn also eine E-Mail scheinbar vom „Amazon Kundendienst“ stammt, aber von der E-Mail-Adresse „xyz123@web.de“ verschickt wurde, sollte man sie direkt löschen. Herausfinden lässt sich das mit einem einfachen Doppelklick auf den Namen des Absenders.
- Kommt die E-Mail aus heiterem Himmel? Selbst wenn der Absender bekannt ist, ist das keine Garantie, dass die Nachricht nicht Teil einer Phishing-Kampagne ist. Denn mit modernen Mitteln können sogar E-Mail-Adressen imitiert werden. Im Zweifel sollte beim vermeintlichen Absender angerufen und nachgefragt werden.
- Ergibt die empfangene Mail überhaupt Sinn? Auch Nachrichten, die überhaupt keinem Kontext oder einer Konversation zuzuordnen sind, sollten kritisch betrachtet werden. Auch hier gilt: Lieber anrufen und rückversichern.
- Eine Nachricht, die sowohl vom Absender als auch vom Inhalt her plausibel erscheint, enthält einen Link? Auch das ist keine Sicherheitsgarantie. Der Account des Absenders könnte gehackt worden sein. Weil Link-Texte frei wählbar sind und mit dem eigentlichen Ziel nicht übereinstimmen müssen, sollten sie generell per Mouseover überprüft werden. Dazu wird der Cursor – wichtig – ohne zu klicken über den Link manövriert. Das eigentliche Ziel wird im dann erscheinenden Fenster angezeigt. Will man auf Nummer sichergehen, kann man den Link zusätzlich kopieren und auf https://www.virustotal.com/ überprüfen lassen.
- Führt der Link zu einer Seite, auf der man sich mit seinen Nutzerdaten, beispielsweise für Microsoft 365, einloggen soll, ist es sinnvoll, die URL des genutzten Dienstes manuell einzugeben, statt dem Link zu folgen. So wird der Besuch gefälschter Webseiten ausgeschlossen.
- Enthält die E-Mail statt eines Links einen Anhang als pdf- oder Office-Dokument, sollte man diese nur öffnen, wenn man sich sehr sicher ist, dass es sich um eine legitime Nachricht handelt. Durch Nutzung eines Nutzerkontos ohne Administratorenrechte kann die Gefahr einer Schadensoftware-Installation zusätzlich reduziert werden. Auch die Deaktivierung der sogenannten Makros in Office – ebenfalls beliebtes Einfallstor für Malware – ist ratsam.
Weitere Informationen zum Thema Phishing und viele andere Themengebiete der Cybersicherheit stehen auf der Webseite von SpardaSurfSafe unter https://www.spardasurfsafe-bw.de/ zur Verfügung.
Über SpardaSurfSafe – eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg
Veranstalter und Träger von SpardaSurfSafe ist die Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im achten Jahr durchführt. In Kooperation mit den IT-Sicherheitsexperten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „Wir haben das Konzept in den vergangenen Jahren erfolgreich in 32 verschiedenen Städten in Baden-Württemberg mit rund 420.000 Teilnehmern durchgeführt. Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.