IT-Sicherheit
Zehn Tipps gegen Phisher
Foto: lolloj - Fotolia.com
Sie sind gemein, mittlerweile erstaunlich gut gemacht und längst die Pest in unserer elektronischen Post: Phishing-E-Mails, in denen uns Online-Betrüger dazu verleiten wollen, unsere Kundendaten, Passwörter oder PIN-Codes zu verraten. Auf oft verblüffend gut nachgeahmten Webseiten sollen wir - so die oft verwendete Formulierung - "aus Sicherheitsgründen die Kontodaten bestätigen", da es angeblich "zu Fremdzugriffen durch Dritte" gekommen sei.
Alternativ verschicken die Angreifer Nachrichten, die angeblich aktuelle Rechnungen enthalten, bei denen die Dateianhänge aber mit Schadsoftware verseucht ist, die beispielsweise die Eingabe der Kontodaten protokolliert und die Informationen dann heimlich an die Hacker weiterleitet. Gerade erst schwappte wieder eine Welle mit gefälschten Telekom- und Vodafone-Rechnungen durchs Netz und in die elektronischen Postfächer.
Fast immer ist die Aufforderung garniert mit der Drohung, das Konto, der Account, der Onlinezugang oder der Telefonanschluss werde kurzfristig gesperrt, wenn man nicht sofort reagiere/die Nutzerdaten prüfe/die Rechnung begleiche. Die Lösung des Problems dagegen sei nur einen Klick entfernt, man müsse bloß dem in der Nachricht eingebetteten Link folgen ...
Bekannte Masche
Die Masche ist - eigentlich - stets die gleiche und hinlänglich bekannt. Dennoch gelingt die Überrumpelung immer noch erstaunlich oft.
Selbst wenn sich die Zahl der gemeldeten Fälle in der letztverfügbaren Kriminalstatistik 2012 auf knapp 3.500 knapp halbiert hatte, gehen Sicherheitsspezialisten davon aus, dass die Dunkelziffer um ein Vielfaches höher liegt. Dafür spricht auch, dass die Zahl der Cybercrime-Delikte insgesamt weiter stark ansteigt.
- Klik hier
Bis zu dieser Stelle könnte man das tatsächlich noch für eine echte Nachricht der Postbank halten. Doch die Beschriftung des Links verdirbt dann alles. - John2quest
Das gleiche Spiel bei der Sparkasse. Auch dieser Text klingt zunächst mal gar nicht so schlecht, bis dann das versehentlich eingestreute john2quest den guten Eindruck zerstört. Blöd gelaufen. - Stümperhaft
Hier liegt nicht nur ein Fehler in der Lieferanschrift vor, auch der ganze Vorgang mit dem Postetikett, das man erst ausdrucken muss, um eine Postsendung abholen zu können, gibt Rätsel auf. - Hallo Gast Visa Europe
Nach dieser fröhlichen Begrüßung geht wirklich alles schief. „Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen“ – das lässt Lynchjustiz vermuten. - Zugriff beschaffen
Man kann bloß hoffen, dass der Absender nicht so redet wie er schreibt. - Konto braucht Hilfe
Eine ziemlich gute Fälschung, wären da nicht die verdächtigen „Unregelmäßigkeiten“ bei Kommasetzung und Rechtschreibung. - Arbeitsort Europa
Rentner, Schwangere und Arbeitslose aufgepasst – in Europa wird eine Stelle frei. - Kein auf und ab
So seriös und überzeugend wurde wohl noch nie für ein börsennotiertes Unternehmen geworben. - Der kleine Prinz
Vor einigen Jahren kamen die Spam-Versender auf den Trichter, dass die E-Mail-Filter literarische Texte nicht beanstanden. In diesem Beispiel hat der Absender Hermann Hesses „Siddharta“ und „Der kleine Prinz“ von Antoine de Saint-Exupéry verwendet, was in der Kombination mit der Werbung für eine obskure Aktie im Anhang einigermaßen bizarr anmutet. - Hallo, wie gehst du
Eine Frau sucht die Liebe im Internet und kommt praktischerweise schon in naher Zukunft, „möglich in einem oder zwei Wochen“, nach Deutschland. Ein Wink mit dem Zaunpfahl. - Endlich reich!
Mehr als 900000 Euro zu gewinnen bei einer spanischen Lotterie, an der man nie teilgenommen hat – das ist echtes Glück. Und notarisch ist ja wohl alles in Ordnung. - Nochmal gewonnen
Diesmal geht es um eine knappe Million, das Schreiben ist diesmal sogar notariell beglaubigt. Doch das notorische „Notarisch“ in der Mitte verrät den Absender. - Lotteriegewinn zum Dritten
Und wieder ein Volltreffer, zum Schluss gibt’s nochmal 825000 Euro. - Ist die Wahrheit
Die Nigeria Connection scheint sich nach London abgesetzt zu haben und schlägt nun einen unseriösen Handel vor. - Schlechte Werbung
Wenn man nicht wissen würde, wie solche Betrügereien funktionieren, wäre Herrn Lenkas Schreiben komplett unverständlich. - Grässlicher Bewegungsunfall
Diese Mail enthält mehr Handlung als so mancher Roman, und er hat mit Abstand die lustigste Wortwahl unter den hier vorgestellten Spams. - Anerkennen
Mr. Peter Wong von der Hang Seng Bank in Hongkong ist einer der bekanntesten Spam-Versender weltweit. Und er findet wunderbare Formulierungen: „Ihre früheste Reaktion auf dieses Schreiben wird geschätzt.“ - Lieber Freund
Auch Herr Poocharit, der bei den Vereinten Nationen mit einem seltsamen Jobtitel eingestellt wurde, hat eine Menge Geld, das irgendwo zwischengelagert werden muss. - Insider-Informationen
„Es ist möglich, das System mit der richtigen Methode zu schlagen“ Das hört sich nach Klassenkampf an, ist aber nur Emily Lopez, alleinerziehende Mutter. - Abnehmen
Der schönste Satz in dieser Nachricht von Dr. Sabrina Kaub, die in der Mail-Adresse Dr. Sabrina Scholler heißt, ist natürlich „ohne dass sie halb verhungern oder staendig Sport treiben muessen.“
Zugleich aber wächst bei den deutschen Surfern das Bewusstsein für das Phishing-Risiko. Viele Onliner löschen daher inzwischen rigoros E-Mails mit verdächtigen Betreff-Zeilen wie etwa "WICHTIG: PASSWORT PRÜFEN", "ID wurde aus Sicherheitsgründen deaktiviert" oder "ACHTUNG KONTOSPERRE".
Die Kehrseite der Totalverweigerung: Mit allen potenziell riskanten Nachrichten verschwinden auch jene in den Orkus, in denen Telefonkonzern, Bank oder Online-Händler tatsächlich vor neuen Sicherheitsrisiken, Spam- oder Phishing-Attacken warnen wollen.
So etwa der Onlineriese Ebay, der seine Kunden nach dem millionenfachen Diebstahl von Kundendaten zur Änderung der Nutzerpasswörter aufforderte. Meine erste Reaktion beim Blick auf den Betreff "Wichtig: …" war denn auch die Annahme, es sei der nächste Phishing-Versuch.
"Wir stecken da in einem Zielkonflikt", heißt es denn auch unisono bei Online-Händlern, Bankern, Web-Shops oder Cloud-Dienstleistern: "Wir warnen unsere Kunden per E-Mail vor Phishing-Attacken, die sie ebenfalls per E-Mail erreichen."
Statt also pauschal alles zu löschen, was möglicherweise ein Phishing-Versuch sein könnte, sollten Onliner wissen, wie sie getarnte Attacken im elektronischen Posteingang identifizieren können und wie sie das Risiko, den Betrügern in die Falle zu gehen, durch das richtige Verhalten beim Konto-Check noch zusätzlich minimieren können. Hier die entscheidenden Tipps: