Über tausendfach versendete Phishing-Mails ergaunern Kriminelle immer wieder Zugangsdaten und Passwörter. Die Chance, dass viele Nutzer auf die gefälschten Nachrichten hereinfallen, ist mittlerweile jedoch relativ gering. Eine neuere Variante der Betrugsmasche – Spear-Phishing – geht sehr viel gezielter vor und ist darum auch deutlich erfolgreicher.
Das Prinzip von Phishing ist relativ simpel: Betrüger erstellen gefälschte E-Mails, Websites und teilweise sogar Kurznachrichten, die authentisch aussehen und Anmeldeinformationen von Nutzern verlangen. Auf diese Weise kommen Kriminelle an Zugangsdaten für Onlineshopping, Social Media oder Cloud-Speicher. Im schlimmsten Fall werden sogar Bank- und Kreditkarteninformationen abgezogen. Noch perfider: Die Betrüger wissen genau, dass viele Nutzer die Passwortsicherheit nicht allzu ernst nehmen und ein und dasselbe Passwort für die unterschiedlichsten Dienste einsetzen. So lassen sich mit einer simplen Phishing-Website zahlreiche sensible Daten stehlen. Auf dem digitalen Schwarzmarkt sind diese Informationen viel Geld wert.
Überdies können Betrüger mit dieser Technik Viren und andere Schadsoftware auf die Computer der Opfer kopieren und die Geräte damit unter ihre Kontrolle bringen. Das Opfer weiß davon oft gar nichts und geht davon aus, eine harmlose E-Mail geöffnet oder eine sichere Website besucht zu haben.
Bei Spear-Phishing handelt es sich um eine Betrugsmasche im Internet und eine besondere Variante des Phishings. Statt ein möglichst breites Publikum anzusprechen, wählen Betrüger ihre Zielgruppe genauestens aus. Mit konkreten Informationen zur ausgewählten Gruppe können sie sehr glaubhafte Nachrichten und Websites erstellen. Der Aufwand ist höher, die Erfolgsrate aber ebenfalls.
Wer aufpasst und URLs und Absender genau überprüft, fällt auf die Masche nicht herein: Die schadhafte Website befindet sich eben nicht auf dem Server, den der Nutzer eigentlich vermutet – und das kann man mit etwas Vorsicht auch erkennen. Doch es gibt immer wieder Menschen, die nicht richtig aufpassen. Der Gewinn entsteht für die Kriminellen durch die Masse: Spam-Mails kosten für den Versender nahezu nichts.
Spear-Phishing funktioniert viel gezielter, sucht sich seine Opfer ganz genau aus und schneidet den Betrugsversuch exakt auf die ausgewählten Personen zu. Im Fokus dieser Angriffe stehen deshalb vor allem Unternehmen und Organisationen. Die Akteure, die diese Phishing-Variante einsetzen, unterscheiden sich oftmals auch von den üblichen Betrügern. Statt einfach irgendwelche Informationen zu sammeln und diese im Darknet dem Meistbietenden zu verkaufen, gehen sie gezielt gegen das spezielle Opfer vor, um dem betreffenden Unternehmen oder der Organisation zu schaden. Neben dem Abgreifen von Bankdaten sind deshalb auch Industriespionage und Cyberangriffe auf militärische Ziele oder die Infrastruktur einer Region Angriffsszenarien.
Die Corona-Krise lässt Cyberkriminelle zur Hochform auflaufen: Phishing-Versuche (sowohl allgemein als auch zielgruppenspezifisch) mit E-Mails, die das Virus zum Aufhänger haben, zielen darauf ab, die aktuelle Unsicherheit auszunutzen. So wird man als vermeintlicher Kunde aufgefordert, persönliche Daten anzugeben, um trotz geschlossener Geschäftsstellen bzw. Filialen oder eingeschränktem Support-Angebot mit dem in der Mail angegebenen Unternehmen kommunizieren zu können. Lassen Sie also in dieser sehr ungewissen Zeit doppelt Vorsicht walten, wenn Sie Nachrichten erhalten, die im Zusammenhang mit Corona stehen und einen bzw. mehrere Links enthalten! Falls noch nicht vorhanden, sind außerdem ein aktuelles Antivirenprogramm sowie ein optimaler Passwortschutz für Ihre sensiblen Daten dringend zu empfehlen!
Im Vorfeld spionieren Betrüger die Zielgruppe aus und sammeln Informationen, die später ihre Glaubwürdigkeit unterstützen. Dann setzten sie eine E-Mail auf, die möglichst konkret auf die Organisation zugeschnitten ist. Als Absender wird meist eine vermeintliche Autoritätsperson oder ein fiktiver Geschäftspartner gewählt. Besonders erfolgreich dürfte Spear-Phishing deshalb auch in großen, internationalen Konzernen sein, wo nicht jeder Mitarbeiter über die komplette Struktur Bescheid weiß. Man bringt das Opfer so dazu, sensible Daten preiszugeben oder Schadsoftware herunterzuladen.
Nehmen wir an, ein Betrüger hat sich als Opfer einen internationalen Konzern ausgesucht. Zunächst wird er versuchen, möglichst viele Informationen herauszufinden: Wie ist das Unternehmen aufgebaut? Wie funktioniert die Kommunikation untereinander? In welchen Bereichen ist das Unternehmen aktiv? Auch ein E-Mail-Verteiler ist wichtig, um die benötigten Adressen zu erhalten. Der Angreifer schickt die E-Mail allerdings nicht an den ganzen Konzern: zu hoch wäre die Gefahr, dass der Betrugsversuch schnell entdeckt und das ganze Unternehmen vor der Aktion gewarnt wird.
Stattdessen schickt der Betrüger nur ausgewählten Personen die E-Mail und spricht diese darin auch konkret an. Über soziale Netzwerke hat der Angreifer detaillierte Informationen über die Mitarbeiter gesammelt. Für das Opfer wirkt die Nachricht deshalb besonders glaubwürdig. Als Autor der E-Mail wählt der Angreifer einen angeblichen hochrangigen Mitarbeiter aus einer anderen Filiale. Absendername und -adresse lassen sich sehr leicht fälschen, und so fällt es auf den ersten Blick gar nicht auf, dass eigentlich jemand anderes hinter der Nachricht steckt.
In der E-Mail bringt der Angreifer einen Button unter, der das Opfer bei einem Klick auf eine ebenfalls gefälschte Website weiterleitet. Das eigentliche Ziel wird dabei verschleiert. Sobald der Nutzer die Website aufgerufen hat, kann im Hintergrund Schadsoftware geladen werden. Wenn sich diese auf dem PC des Opfers breitmacht, kann der Betrüger u. U. das komplette Unternehmensnetzwerk ausspionieren.
Das Opfer denkt zu diesem Zeitpunkt noch, es hätte eine normale Website besucht und dort vielleicht an einer Umfrage teilgenommen. So kann sich der Virus unbemerkt im Netzwerk des Konzerns ausbreiten und der Angreifer bekommt vollen Zugriff oder kann unternehmenskritische Prozesse stören.
Am besten können sich Nutzer durch eine gesunde Portion Skepsis vor Spear-Phishing schützen. Wer nicht auf unbekannte Links klickt oder unerwartete Dateianhänge öffnet, kann eigentlich nicht Opfer werden. Das Problem allerdings ist, dass solche Angriffe (im Gegensatz zu üblichen Phishing-Mails) sehr gut gemacht sind. Während man bei der üblichen Spam-Mail schon an der Orthografie und so manch unsinniger Behauptung den dubiosen Charakter erkennt, sind Spear-Phishing-Nachrichten sehr viel besser ausgearbeitet. Sie wirken seriös und echt.
Außerdem arbeiten solche Attacken mit Schwächen von Menschen, in erster Linie mit Neugierde und Angst. Wer denkt, er würde etwas Wichtiges verpassen oder übersehen, läuft eher Gefahr, seine Skepsis abzulegen und auf die Masche hereinzufallen. Deshalb versprechen Spear-Phishing-Nachrichten oftmals Informationen, die die eigene Karriere voranbringen könnten, oder treten so autoritär auf, als hätte man bei Missachtung schwere Konsequenzen zu fürchten.
Spear-Phishing kann nur funktionieren, wenn der Angreifer genug Informationen über das Opfer findet. Die erste Anlaufstelle dafür sind Social-Media-Accounts. Dort sollte man also nicht zu viel von sich preisgeben, schon gar nicht Informationen, die mit der Arbeit zu tun haben. Über Social Engineering versuchen Betrüger weitere Informationen zu bekommen. Auch hier gilt es Vorsicht zu bewahren: Unbekannten sollte man niemals sensible Daten weitergeben, egal wie vertrauenswürdig der Kontakt erscheint.
Man kann aber auch direkt an der Nachricht den illegitimen Charakter erkennen. Besonders bei E-Mails lohnt sich ein genauerer Blick auf den Absender. Zwar werden der Name und die vorgebliche Absenderadresse gefälscht sein, im Sendeprotokoll der E-Mail befindet sich allerdings die eigentliche Adresse. Viele moderne E-Mail-Clients wie Outlook lassen die Quelle zugunsten eines Anzeigenamens verschwinden; man kann sich aber (mal mehr, mal weniger einfach) den Header einer E-Mail anzeigen lassen. Erkennt man dort, dass die Quelle nicht mit den Angaben des angeblichen Absenders übereinstimmt, besteht ein hohes Betrugsrisiko.
Eine weitere Sicherheitsvorkehrung im E-Mail-Verkehr ist es, auf HTML zu verzichten und Bilder nicht automatisch nachladen zu lassen. Auf diese Weise wird verhindert, dass schädliche Programme schon beim Öffnen der Nachricht auf den Rechner des Opfers gelangen können.
Anhänge von unbekannten Absendern sollten ohnehin nicht geöffnet werden. Hier muss man zunächst die Identität des Absenders überprüfen. Auch wenn der Absender seriös wirkt, sollte man nie Anhänge von Absendern öffnen, mit denen man noch nicht zuvor kommuniziert hat. Auch wenn der Absender bekannt zu sein scheint: Öffnen Sie keine Dateianhänge, sie Sie nicht von diesem Absender erwarten. Der Rechner des bekannten Absenders könnte bereits von einem Schadprogramm infiziert sein. Fragen Sie im Zweifel persönlich beim Absender nach.
Aufpassen sollte man auch bei den Internetadressen, die sich hinter Links befinden. Man kann sie schon sehen, bevor man auf den Hyperlink klickt. Durch URL-Spoofing versuchen Angreifer, ihre Domain wie eine rechtmäßige Adresse aussehen zu lassen. Mit etwas Aufmerksamkeit kann man diesen Trick schnell enttarnen. Adressen, die gekürzt und damit verschleiert wurden, sollten vorher wieder in die Ausgangsform gebracht oder komplett ignoriert werden.
Die beiden besten Abwehrmechanismen gegen Spear-Phishing sind also gesundes Misstrauen sowie offene Kommunikation mit Kollegen. Wer auffällige Nachrichten mit unbekannten Absendern im Kollegenkreis anspricht und angebliche Absender zu identifizieren versucht, kann Betrugsfälle schnell aufdecken.
Tag für Tag werden milliardenfach Spam-Mails verschickt. Die Auseinandersetzung mit den lästigen Nachrichten kostet Zeit und Nerven – vor allem wenn über sie Schadprogramme auf den Computer gelangen oder private Daten in die falschen Hände geraten. Doch bereits ein paar kleine Kniffe und Vorsicht beim Umgang mit Mails schaffen Abhilfe.
Dubiose Nachrichten, mit denen Trickbetrüger an sensible Daten gelangen möchten, sind für viele Internetnutzer ein alltägliches Ärgernis. Doch sogenanntes Phishing ist nicht nur lästig, betrügerische Mails richten auch jedes Jahr einen Schaden in Millionenhöhe an. Wir verraten, wie Sie Phishing-Mails zuverlässig erkennen und im Mail-Postfach unschädlich machen.
Passwortmanager sind extrem praktische Tools, mit denen Sie das alltägliche Passwortchaos besser bewältigen können. Sie funktionieren meist über Browser-Erweiterungen oder Desktop-Apps und sind plattformübergreifend verfügbar. Unter den Passwortmanagern hat sich besonders 1Password etabliert, ein für viele Nutzer solides Tool. Allerdings ist 1Password verhältnismäßig teuer und es gibt begründete...
Botnets sind schwer zu erkennen, dabei sind sie überall im Internet verteilt und richten täglich Schaden an. Unbemerkt laufen sie im Hintergrund und nutzen Millionen private Computer für illegale Zwecke. Wie man sich davor schützen kann, Teil eines illegalen Netzwerks zu werden, und wie man die Bots entfernt, zeigen wir Ihnen hier.
Vom Phishing haben die meisten Internetnutzer mittlerweile wohl schon einmal gehört, aber was ist Smishing? Wir erklären, wie die SMS-Betrugsmethode funktioniert und welche Inhalte Cyberkriminelle häufig für SMS-Phishing nutzen. Lernen Sie, worauf Sie achten müssen, um eine authentische SMS von einer Phishing-SMS zu unterscheiden.
Nur für kurze Zeit: So erhalten Sie zwei Gratis-Domains!
Kaufen Sie eine .de-Domain und erhalten Sie eine .com und .info Domain gratis dazu.
Sie empfehlen unsere Produkte über unseren Partner Aklamio weiter. Wir bedanken uns mit einer Geldprämie.
Weiterempfehlen
Professionell: 100% werbefrei