Direkt zum Inhalt
Anzeige
Anzeige
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik
Ad placeholder
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik
Ad placeholder
Print this page

Phishing & Co: Wie gefährlich sind E-Mails?

Dörte Neitzel

Wer kennt sie nicht, die klassische E-Mail von einem angeblichen Erben oder Sterbenden, der in schlechtem Deutsch um Ihre Kontonummer bittet, da er Hilfe bei der Verteilung seiner sechs Millionen Euro benötigt, und dafür Ihr Konto braucht. Natürlich würden Sie Ihren fairen Anteil bekommen. Na, neugierig geworden und fast schon den Antwort-Button angeklickt?

Phisher wollen an Finanzdaten und Passwörter

Nein, natürlich nicht! Denn dann wären Sie Opfer eines klassischen Phishing-Versuchs geworden. Dabei versuchen Ganoven, per E-Mail Daten von Ihnen zu erhalten – in diesem Fall die Kontonummer –, die sie dann missbrauchen. Der Begriff selbst ist ein englisches Kunstwort, das zusammengesetzt wurde aus den Wörtern passwort harvesting (Passwörter ernten) und fishing (angeln – mit Köder). Dies ist eine Form von Cyberkriminalität. 

Lesen Sie dazu: Ungesicherte Netze: Cyberterror gegen Gebäudetechnik

Bei unserem Eingangsbeispiel weiß mittlerweile so ziemlich jeder, dass hinter solchen Mails – gleich, ob sie aus Nigeria, Großbritannien oder den USA kommen – Verbrecherbanden stecken. Solch’ elektronische Post landet daher in der Regel gleich im Papierkorb. Was aber, wenn die Cyberkriminellen neue und wesentlich glaubwürdigere Methoden einsetzen?

Zahl der Phishing-Versuche nimmt zu

Immerhin ist laut einer Studie des Gesamtverbands der Deutschen Versicherungswirtschaft schon jedes vierte mittelständische Unternehmen hierzulande Opfer eines Cyberangriffs geworden.

Besonders Phishing ist als Methode weit verbreitet, wie der E-Mail Threat Report aus dem ersten Quartal 2019 der Sicherheitsfirma Fire Eye zeigt. Danach hat die Zahl der Phishing-Versuche um 17 Prozent zugenommen.

Täuschend echte E-Mails

In der Regel erhalten Sie eine E-Mail, die mit dem Logo Ihrer Bank, von Paypal, Amazon oder ähnlichen Diensten versehen ist. In dieser Mail werden Sie aufgefordert, sich in Ihr Konto einzuloggen, um eine mögliche Falschzahlung zu verhindern, Ihr Passwort neu zu vergeben oder neue Sicherheitseinstellungen zu bestätigen.

Weil die E-Mail so echt aussieht und der Inhalt Sie unter Druck setzt („in den nächsten 24 Stunden“) kann es schnell passieren, dass Sie darauf reinfallen. Beim Klick auf den Link in der Mail landen Sie dann allerdings nicht auf der gewollten Webseite, sondern auf einer täuschend echt nachgemachten Seite. Geben Sie hier dann Ihre Zugangsdaten ein, landen diese direkt im Netz der Phisher.

Was ist Spear Phishing?

Relativ neu ist die Variante des Spear Phishing. Hierbei handelt es sich um eine sehr gezielte Phishing-Kampagne, die zwar ebenfalls den Klau von Finanzdaten zum Ziel hat, aber auf einem höheren Niveau stattfindet. Zwei Unterschiede gibt es im Vergleich zum „herkömmlichen“ Phishing:

  • Die Zielgruppe der Attacke ist sehr begrenzt, etwa eine bestimmte Zahl von Studenten einer bestimmten Universität oder Beschäftigte eines Unternehmen und
  • der vermeintliche Absender kommt aus eben diesem Kreis, ist aber ein Vorgesetzter – etwa der Dekan oder der Geschäftsführer. Das soll Zweifel an der Glaubwürdigkeit ausräumen.

Das Phänomen wird als Colonel-Effekt bezeichnet, im Deutschen auch übersetzt als Obrigkeitsdenken. Der Name geht zurück auf Aaron Ferguson, Dozent an der Militärakademie West Point. Er verschickte eine E-Mail an 500 Kadetten, in der er sie aufforderte mit einem Klick auf den Link ihren Dienstgrad zu bestätigen. Als Absender gab er einen Colonel Robert Melville aus West Point an. Die Folge: Mehr als 80 Prozent der Kadetten klickten auf den Link.

Daran erkennen Sie eine Phishing-Mail

Es gibt einige Kriterien, an denen Sie eine Mail erkennen, die nur Ihre Daten abgreifen will:

  • Die Ansprache lautet meist allgemein „Sehr geehrter Kunde/Nutzer“, statt Ihres Namens (Achtung: Nicht bei Spear Phishing!).
  • Die E-Mail ist in fehlerhaftem Deutsch geschrieben oder mixt sogar Sprachen.
  • Die Webseite, auf der Sie landen, ist schlecht nachgemacht
  • Umlaute können fehlen oder in anderen Schriftzeichen (beispielsweise kyrillisch) dargestellt sein.
  • Sie werden in der Mail aufgefordert, Daten von sich preiszugeben oder sich eine angehängte Datei anzuschauen.
  • Oft erzeugt die E-Mail Druck - eine größere Summe wurde angeblich abgebucht oder Ihr Zugang wird bald gesperrt und wenn Sie nicht sofort handeln, ist alles zu spät.

Verdacht auf Phishing? Das können Sie tun!

Die meisten Phishing-Mails nutzen die HTML-Darstellung oder Java-Script, um professionell zu wirken. Sie können eine solche Darstellung in Ihrem Mailprogramm deaktivieren. Natürlich hilft auch ein aktiver und aktueller Virenschutz auf dem Computer.

In allererster Linie sollten Sie Ihre Mails allerdings sorgfältig lesen, denn kein seriöses Kreditinstitut fordert seine Kunden per E-Mail auf, seine Daten preiszugeben. Dienstleister versenden nämlich nur in Ausnahmefällen E-Mails mit Links, und dann auch nur, um beispielsweise neue AGBs zu bestätigen.

Erhalten Sie etwa eine Mail, die angeblich von Paypal oder Amazon stammt, in der Sie aufgefordert werden, über einen Link in der Mail eine „verdächtige Zahlung“ zu überprüfen, loggen Sie sich stattdessen über die normale Webseite ein und überprüfen Sie, ob es eine solche Zahlung überhaupt gegeben hat.

Erhalten Sie Mails von Unternehmen oder Instituten, bei denen Sie kein Kunde sind, können Sie die Mail getrost sofort in die „Ablage P“ befördern

Die Verbraucherzentrale NRW hat darüber hinaus noch einen Tipp parat: Wenn Sie prüfen wollen, ob der Absender einer Mail echt ist, können Sie sich den so genannten Mail Header anschauen. Dieser verrät die IP-Adresse des Absenders. Sie ist fälschungssicher und gibt Aufschluss über den tatsächlichen Absender.

Das könnte Sie auch interessieren:

Mehr zu diesem Thema
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik
Ad placeholder