Zwei Wochen hat Anna ein Praktikum in der Unternehmenskommunikation bei G DATA gemacht. Ein besonderes Highlight: Die Vorbereitung und Durchführung eines Interviews mit unserem Security Evangelist Tim Berghoff zum Thema Phishing. So lernte sie gleich mehrere Perspektiven kennen:
- Den Einsatz von Interviews zur Informationsgewinnung.
- Was wesentliche Phishing-Merkmale sind und worin sich klassischer Betrug und Phishing unterscheiden.
- Wie Tim Berghoff, der regelmäßig mit Medien, TV und Radio spricht, im Interview agiert.
- Die Verschriftlichung eines Interviews.
Als sie anfing, das Interview vorzubereiten und zu dem Thema Phishing zu recherchieren, erinnerte sie sich an einen Vorfall in ihrer Familie: Ihr Vater erhielt eine Mahnung per Post von „Lidl“ und wurde stutzig, da er dort nie etwas bestellt hatte. Die Sache war eindeutig: Die Zahlungserinnerung war gefälscht. Die Frage, ob es sich hier um Phishing handelt, beantwortete ihr Tim Berghoff im Interview und gab außerdem Tipps, was typische Phishing-Merkmale sind.
Tim, was versteht man unter Phishing?
Phishing ist eine Angriffsmethode aus dem Bereich „Social Engineering“. Die Angreifer versuchen dazu über eine gefälschte Nachricht an persönliche oder schützenswerte Daten von Privatpersonen oder Unternehmen heranzukommen. Häufig geschieht dies über eine E-Mail, die einen gefälschten Link enthält. Die Angreifer versuchen an vertrauliche Informationen zu gelangen, wie Passwörter, Benutzernamen oder auch Kreditkartennummern. So wie der Name Phishing auch schon verrät, sollen Daten abgefischt werden.
Was ist das Ziel von Phishing?
Das primäre Ziel der Täter ist es, einen finanziellen Gewinn mit Hilfe der gewonnenen Daten zu erreichen. Dabei ist es völlig egal, um wessen Informationen es sich handelt. Sowohl Privatpersonen als auch Unternehmen sind für die Kriminellen interessant. Denn es geht um die Masse der Passwörter, Namen oder E-Mail-Adresse, die dann von den Cyberkriminellen im Darknet verkauft werden. Phishing-Angriffe werden auch dazu genutzt, um an vertrauliche Unternehmensdaten zu kommen.
Woran erkenne ich Phishing?
Es handelt sich meistens um E-Mails, die dazu auffordern, einen Link anzuklicken. Dieser Link führt zu vermeintlichen Webseiten, zum Beispiel von Banken oder anderen Zahlungsdienstleistern. Auf den ersten Blick erkennt man häufig nicht, dass etwas nicht stimmt. Die Cyberkriminellen ahmen den Internetauftritt der jeweiligen Seite nahezu perfekt nach, sodass das Corporate Design wie Firmenlogo und Layout zum Verwechseln ähnlichsieht. Nicht nur über die Nachahmung professionell aussehender Webseiten erreichen Angreifer ihr Ziel. Sie arbeiten oft auch mit psychologischem Druck. Es wird beispielsweise suggeriert, dass das Konto gesperrt wird, wenn die Daten nicht umgehend eingegeben werden.
Wie schätzt du den folgenden Vorfall ein? Zählt dieser schon zum typischen Phishing?
Mein Vater hat vor Kurzem ein Mahnschreiben per Post erhalten. Angeblich sollte er bei der Firma „Lidl“ etwas bestellt und nicht gezahlt haben. Allerdings hatte er dort noch nie etwas bestellt und wusste sofort, dass es sich um ein Fake-Schreiben handeln muss.
Nein, hierbei handelt es sich um klassischen Betrug. Es ist eine gängige Masche, dass Rechnungen für Waren verschickt werden, die nie bestellt wurden. Das kann auch zu einem weiterführenden Problem führen, dem Identitätsdiebstahl. Dabei nutzen die Täter personenbezogene Daten, um zum Beispiel auf fremden Namen Waren zu bestellen oder kostenpflichtige Abonnements abzuschließen. Im Vergleich zum Phishing hat dies deutlich dramatischere Auswirkungen. Denn ein Identitätsdiebstahl kann im schlimmsten Fall dazu führen, dass die Opfer ihre Liquidität und Kreditwürdigkeit verlieren. Hier ist es wichtig, den Vorfall zu dokumentieren und gegebenenfalls Kontakt zu dem vermeintlichen Absender aufzunehmen. Allerdings sollte man nicht die Kontaktdaten aus dem Briefkopf verwenden, da diese meist ebenfalls gefälscht sind und direkt zu den Tätern führen. Daher empfiehlt es sich im Netz nach der offiziellen Telefonnummer oder Mailadresse zu suchen, insbesondere dann, wenn der Absender ein bekanntes Unternehmen ist.
Worin besteht der Unterschied zwischen Phishing und dem klassischen Betrug?
Beim klassischen Betrug versuchen die Täter auf direktem Weg an das Geld des Opfers zu gelangen, wie bei der Masche mit einer gefälschten Mahnung per Post. Im Unterschied dazu, geht es beim Phishing in erster Linie darum, an persönliche Daten wie Passwörter zu kommen. In den meisten Fällen erfolgt Phishing über elektronische Kommunikationsmittel wie E-Mail oder Telefon und nicht auf postalischem Weg.
Wie können sich Privatpersonen, aber auch Unternehmen vor Phishing schützen?
Häufig werden in den gefälschten E-Mails Begriffe wie Mahnung oder Kontopfändung von den Tätern verwendet. Am wichtigsten ist es, sich nicht einschüchtern zu lassen und unüberlegt oder übereilt Links anzuklicken. Wenn mit enormem Druck gearbeitet wird, sollten die Alarmglocken angehen. Es gilt: Beispielsweise bei Kontosperrungen bedarf es immer der Schriftform, also einem postalisch zugeschickten Brief. Im Zweifelsfall hilft es auch Kontakt zu der eigenen Bank aufzunehmen und nachzufragen, ob es sich um eine echte E-Mail handelt. Bei Unternehmen ist es besonders wichtig, dass Rechnungen immer einem Auftrag zugeordnet werden können. Ist dies nicht der Fall, ist Skepsis an der Echtheit angebracht und ab gewissen Beträgen die Freigabe und Überprüfung durch eine zweite Person sinnvoll.
Gibt es eine bestimmte Zielgruppe, die besonders von Phishing-Angriffen betroffen ist?
Das ideale Opfer für Phishing hat von IT so wenig Ahnung wie nur möglich. Gerade bei älteren Leuten ist das Risiko sehr hoch, auf solche Betrugsmaschen hereinzufallen. Fakt ist aber, dass jeder mit einem E-Mail-Postfach von Phishing betroffen sein kann.
Was sind deine wichtigsten Tipps, um Phishing zu erkennen?
Folgende fünf Tipps habe ich, woran Phishing erkennbar ist:
- Absenderadresse: Prüfen Sie immer die Absenderadresse auf Rechtschreibfehler oder ungewöhnliche Domänennamen. Eine abgewandelte Adresse kann ein Hinweis auf Phishing sein.
- Anrede: Kennt das Unternehmen eigentlich Ihren Namen? Dann kann eine Anrede mit „Sehr geehrter Kunde“ verdächtig sein.
- Handlungsdruck: Angreifer arbeiten oft mit psychologischen Tricks wie Angst. Sie wollen Druck ausüben, sodass Personen sofort auf einen Link klicken. Handeln Sie nicht unüberlegt und prüfen genau, ob die E-Mail legitim ist.
- Links: Verdächtige Links können Sie leicht kontrollieren, indem Sie mit der Maus darüberfahren und nicht draufklicken. So sehen Sie, ob die URL zu dem Absender passt oder auffällig ist.
- Informationsweitergabe: Vertrauliche Daten wie Passwörter oder Kreditkarteninformationen fragen seriöse Unternehmen niemals per E-Mail ab.
Mehr Tipps gibt es im G DATA Ratgeber „Phishing-Mails erkennen“.