Der Phish hat angebissen: Was passiert, wenn Sie auf einen Phishing-Link klicken?

Phishing-Link

Sie können versichert sein: Sie sind nicht die erste Person, die einem Phishing-Angriff ins Netz gegangen ist. In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2021 bezeichnet das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Phishing als prominente Betrugsform und berichtet insbesondere von einer Zunahme von Smishing-Angriffen. Und laut dem FBI-Bericht zu Internetkriminalität 2021 nahmen Betrugsfälle in Form von Phishing, Vishing, Smishing und Pharming letztes Jahr die Führungsposition auf der Liste von Cyberkriminalität ein: 323.972 amerikanische Bürger fielen ihnen zum Opfer und die Gesamtsumme der entstandenen Schäden belief sich auf 44.213.707 US-Dollar.

Das ist viermal so viel, wie die Anzahl der Menschen, die auf Nichtlieferungs- und Nichtzahlungsbetrügereien hereinfielen, der zweithäufigsten Cyberkriminalitätsvariante in den USA, was eine Zunahme von 182% im Vergleich zur Phishing-Opfer-Statistik aus dem Jahr 2019 darstellt.

Jedoch wird dieses Wissen allein Sie kaum beruhigen, wenn Ihnen selbst durch einen solchen Angriff Schaden hinzugefügt wurde. In diesem Artikel werfen wir einen genaueren Blick darauf, was Phishing-Links sind, wie sie funktionieren und wie Sie sie erkennen können – und geben Ihnen außerdem Expertentipps zur Schadensbegrenzung.

Das Wichtigste zuerst: Was genau ist Phishing?

Das Gabler Wirtschaftslexikon definiert die Betrugsmethode wie folgt: „Phishing bedeutet, dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.“ Die britische Sicherheitsbehörde National Cyber Security Centre fasst dies auf einfache Weise zusammen: Phishing verleitet Nutzer dazu, „das Falsche zu tun“, wie das Klicken auf einen Link, der Schadsoftware herunterlädt oder sie auf eine zwielichtige Webseite weiterleitet.

Wenn Sie einen Blick auf die Taxonomie von Cyberkriminalität werfen, werden Sie feststellen, dass es sich bei Phishing um eine Form von Social-Engineering-Angriffen handelt. Für diese Attacken nutzen Kriminelle psychologische Manipulationstechniken, um Nutzer hereinzulegen und sie dazu zu bringen, ihre Sicherheit zu kompromittieren, Geld zu überweisen oder sensible Informationen zu teilen. Auch wenn für diese Angriffe digitale Mittel eingesetzt werden, unterscheiden sie sich nicht übermäßig von traditionellen Betrugspraktiken, wie z. B. dem Vertreter, der von Tür zu Tür zieht und Hausmänner und -frauen dazu überredet, ein Abonnement für Nahrungsergänzungsmittel einzugehen, die am Ende niemals geliefert werden.

Egal, ob physisch oder digital – alle Social-Engineering-Angriffe beruhen auf demselben Modus Operandi: der Ausnutzung unserer Schwächen, wie Eitelkeit, Angst oder Habgier auf der einen und Neugier, Großzügigkeit oder Mitgefühl auf der anderen Seite. Das BSI warnt , dass diese Attacken sich oftmals an gesellschaftlichen Ereignissen und aktuellen Themen orientieren und diese zu ihrem Vorteil ausnutzen, wie z. B. Naturkatastrophen (wie die Hochwasserkatastrophe 2021), Epidemien und Gesundheitsgefahren (wie die COVID-19-Pandemie) und wirtschaftliche Belange (wie Steuerrückzahlungen, politische Wahlen oder Feiertage).

Phishing-Angriffe können zwar über SMS, soziale Medien oder Telefon erfolgen, aber per E-Mail ist eindeutig die gängigste Methode. Auch in ihrer Raffinesse unterscheiden sie sich erheblich: sei es die Variante mit dem nigerianischen Prinzen oder eine Zurücksetzungsmeldung bezüglich Ihres Netflix-Kontos, die sich kaum von der echten Nachricht unterscheiden lässt. So oder so, fast immer spielen betrügerische Links eine zentrale Rolle.

1. Die imaginäre Rechnung

Ein wahrer Klassiker. „Wir haben vor Kurzem erfahren, dass Betrüger eine alte Phishing-Methode wieder zum Leben erweckt haben. In dieser Version senden die Angreifer, die sich als ein bekanntes Tech-Unternehmen getarnt haben, eine E-Mail mit einer gefälschten Rechnung, die besagt, dass Sie kürzlich Musik oder Apps von der Firma erworben haben. Die E-Mail fordert Sie dazu auf, auf einen Link zu klicken, wenn Sie den Kauf nicht autorisiert haben“, < a href="https://consumer.ftc.gov/consumer-alerts/2018/02/phishers-send-fake-invoices" rel="nofollow"> warnt die amerikanische Federal Trade Commission. Hierbei handelt es sich um das Recycling einer altbekannten Betrugsmasche aus dem Jahr 2018, bei der es wahrscheinlich um fingierte iTunes-Rechnungen geht.

Phishing-Betrüger, die diesen Vorwand nutzen, nehmen sowohl Privatpersonen als auch Unternehmen mit dem gleichem Feuereifer aufs Korn, indem sie sich als legitime Anbieter ausgeben und die Opfer zu einer Zahlung zu bewegen versuchen. Die Tatsache, dass sowohl Google als auch Facebook auf diese Masche hereingefallen sind, unterstreicht, wie effektiv diese Phishing-Technik sein kann: Vor ein paar Jahren haute ein litauischer Hacker die beiden Tech-Riesen übers Ohr, indem er sich als einer ihrer Anbieter ausgab, und erbeutete auf diesem Weg mehr als 100 Millionen US-Dollar, wie die Berliner Morgenpost berichtete.

2. Das nicht vorhandene Problem mit Ihrem PayPal-Konto

Mit über 200 Millionen Nutzern und direktem Zugriff auf deren Bankkonten ist PayPal ein wahrgewordener Traum für Phishing-Betrüger. Eine Studie von rund 50.000 gefälschten Anmeldeseiten hat ergeben, dass PayPal die in Phishing-Versuchen am meisten verwendete Marke ist: Das Unternehmen führt die Liste mit 22% an. Nach einer allgemeinen Grußformel wird die typische PayPal-Phishing-E-Mail die Nutzer dazu auffordern, finanzielle oder personenbezogene Informationen preiszugeben, Kontodaten zu aktualisieren oder die Sendungsnummer einer Bestellung einzugeben, bevor die Bezahlung eingehen kann. Mit anderen Worten: Es werden Informationen erfragt, um die PayPal Sie niemals per E-Mail bitten würde, wenn überhaupt. Hier finden Sie weitere Beispiele für gefälschte PayPal-E-Mails.

3. Der „Google-Docs-Wurm“ (die Neuauflage)

Im Mai 2017 machte der sogenannte „Google-Docs-Wurm“ im Internet von sich reden. Dieser Phishing-Versuch erschien in der Verkleidung eines Google Doc, um sich Zugriff auf die E-Mails und Kontakte der Nutzer zu verschaffen, erinnert sich Lily Hay Newman von Wired. „Der Betrug war so effektiv, weil die Anfragen von Personen zu kommen schienen, die dem Opfer bekannt waren. Wenn dieses dann Zugriff gewährte, sendete die App automatisch dieselbe betrügerische E-Mail an die Kontakte des Opfers, wodurch der Wurm sich immer weiter verbreitete. Dieser Vorfall betraf letztendlich über eine Million Konten, bevor Google ihn erfolgreich eindämmen konnte.”

Aber das bedeutet noch lange nicht, dass wir aus dem Schneider sind. Derartige betrügerische Methoden, wie Matthew Bryant der Computerzeitschrift gegenüber erwähnte, sind deshalb so wirksam, weil sie legitime Funktionen und Services manipulieren, denen wir vertrauen. Der Sicherheitsexperte hat Wege ermittelt, auf denen Angreifer möglicherweise Googles erweitertes Workspace-Sicherheitsprogramm überlisten könnten – wobei diese bereits findig genug in ihrer Manipulation von Google-Workspace-Benachrichtigungen und -Features sind, mit der sie Phishing-URLs und -Seiten für ihre Opfer ansprechend machen

4. Die ungewöhnliche Aktivität, die niemals stattgefunden hat

„Auch wenn hier an der Brown University noch keine Vorfälle bekannt sind, warnen Sicherheitsanbieter vor dem folgenden E-Mail-Betrug, der sich die Bedenken rund um die aktuelle internationale Krise zunutze macht, um den Empfänger dazu zu bringen, den Nutzer zu melden und die Meldungen abzubestellen“, lautet ein Sicherheitshinweis , der kürzlich von der Brown University gepostet wurde. Dieser warnte Microsoft-Kontoinhaber vor einer nagelneuen Welle von Phishing-Benachrichtigungen bezüglich Anmeldeversuchen aus Russland. Praktischerweise war der „Nutzer melden“-Button direkt in die E-Mail eingefügt, sodass der Empfänger nur darauf klicken musste. Natürlich führte dieser diejenigen, die der Aufforderung Folge leisteten, nicht auf eine Seite zur Meldung des Vorfalls, sondern zu einem Fenster mit einer neuen, bereits ausgefüllten Nachricht – und nach deren Senden zu einer Bitte um die Eingabe von Anmelde- oder Zahlungsdaten.

Mit 19% ist Microsoft die zweitbeliebteste Marke von Cyberkriminellen, hinter der sie sich gern verstecken. Und aus gutem Grund: 75 Millionen Nutzer melden sich täglich in ihrem Microsoft- Teams-Arbeitsplatz an. Da 95% von Fortune-500-Unternehmen auf Microsofts Clouddienste angewiesen sind, werden viele dieser Nutzer den Service sehr wahrscheinlich dazu verwenden, um auf höchstwertvolle Informationen zuzugreifen. Deshalb sind Benachrichtigungen dieser Art auch Bestandteil unserer vierteljährlichen Simulation von Phishing-Attacken . Im Zuge dieser Simulation erhalten unsere Mitarbeiter eine identische Kopie der ursprünglichen Meldung. Wenn sie jedoch auf den Link klicken, um ihren Aktivitätsverlauf zu überprüfen, öffnet sich ein Proxy-Klon der Microsoft-Anmeldeseite, um ihre Anmeldedaten abzufangen.

5. Die gefälschte HR-Mitteilung

Auch wenn der Ausbruch des Coronavirus die meisten von uns hinter verschlossene Türen zwang, öffneten sich für Hacker neue Türen in Bezug auf ihre Möglichkeiten. Anfang 2020 zeigte ein neuer E-Mail-Betrug seine hässliche Fratze und machte Arbeiter im Homeoffice zu seiner Zielscheibe, um ihre Firmenanmeldedaten zu stehlen. Dies erfolgte durch Microsoft Sway, einer unscheinbaren App, die es Mitarbeitern gestattet, Newsletter, Berichte und Ähnliches zu erstellen.

Laut TechRadar nutzen die Kriminellen den Dienst, um E-Mails zu erstellen und zu senden, die Betreffzeilen wie „Mitarbeiteranmeldung erforderlich“ und „Zugriff für Homeoffice-Mitarbeiter“ mit „Personalabteilung“ als Absender enthielten. Wenn die Opfer jedoch auf den Phishing-Link klickten, wurden sie umgehend zu einer Phishing-Seite weitergeleitet, auf der ihre Anmeldedaten gestohlen und höchstwahrscheinlich weiterverkauft wurden.

6. Die einzige Nachricht von Ihrem Chef, die sie ignorieren sollten

Wie wir bereits in einem früheren Beitrag erwähnten, ist keine Zahlung so dringend, dass sie eine direkte Nachricht vom CEO des Unternehmens rechtfertigt, die Mitarbeiter dazu auffordert, eine sofortige Überweisung zu tätigen… es sei denn – Sie haben richtig geraten – es handelt sich beim Absender um jemanden, der sich als Geschäftsleiter ausgibt und seine unterstellten Mitarbeiter zur umgehenden Begleichung einer Rechnung drängt. Das ist ziemlich genau das, was der belgischen Bank Crelan 2016 passierte. In diesem Fall ahmten Hacker das E-Mail-Konto des Geschäftsführers erfolgreich nach und brachten Mitarbeiter dazu, Geld an ein von ihnen kontrolliertes Bankkonto zu überweisen. Auditoren deckten den Betrug zwar auf, aber dieser brachte dem Unternehmen dennoch eine stolze Rechnung in Höhe von 70 Millionen Euro.

Hier geben wir Ihnen eine Checkliste mit sechs Fragen an die Hand, die Sie sich stellen sollten, um nicht auf verdächtige Links hereinzufallen und so ein weiteres Phishing-Opfer zu werden.

1. Sieht diese URL echt aus? Überprüfen Sie stets die Rechtschreibung von URLs in E-Mail-Links, bevor Sie auf diese klicken – besonders dann, wenn Sie im Begriff sind, sensible Informationen einzugeben. Sie können die URL nicht direkt erkennen? Bewegen Sie Ihren Mauszeiger über den Link, der in der E-Mail angezeigt wird.

2. Führt der Button oder Link wirklich dorthin, wohin er führen sollte? Eine gute Faustregel ist: Wenn es scheinbar keine Übereinstimmung zwischen dem E-Mail-Link und der Zieladresse gibt, klicken Sie nicht darauf. Das Gleiche gilt für URLs mit unsinnigen Zeichenketten.

3. Würde der Sender diesen Wortlaut verwenden? Kein seriöses Unternehmen würde seine E-Mail-Rundschreiben mit „Sehr geehrte(r) Nutzer(in)“ oder „Sehr geehrtes geschätztes Mitglied“ beginnen. Weitere verräterische Zeichen sind Grammatik- und Rechtschreibfehler und seltsame Groß- und Kleinschreibung.

4. Werde ich aus legitimen Gründen um das Teilen meiner persönlichen Informationen gebeten? Seriöse Unternehmen werden Sie höchst selten um die Eingabe sensibler Daten per E-Mail-Link bitten. Seien Sie besonders auf der Hut, wenn die ungewöhnliche Anfrage mit plötzlicher Dringlichkeit oder einem emotionalen Appell gepaart ist.

5. Sieht die E-Mail-Adresse des Absenders seriös aus? Werfen Sie stets einen Blick über den angezeigten Namen des Absenders hinaus, um dessen Identität zu verifizieren. Eine genauere Prüfung der E-Mail-Kopfzeile kann eine gängige Phishing-Taktik an den Tag bringen: eine leichte Änderung des Domain-Namen, um legitim zu erscheinen.

6. Wurde diese E-Mail zu einer ungewöhnlichen Zeit gesendet? „Böswillige E-Mails werden nun oftmals gesendet, um mit dem nachmittäglichen Leistungstief, das Büroarbeitern bekannt sein dürfte, zusammenfallenׅ“, berichtet CPO Magazine – also gewöhnlich zwischen 14-18 Uhr, wenn die Aufmerksamkeit der Mitarbeiter geringer und eine kritische Prüfung der E-Mails somit unwahrscheinlicher ist.

Sie haben auf einen Phishing-Link geklickt, aber keine Informationen eingegeben? Befolgen Sie trotzdem die nachstehenden Schritte. Wenn Sie auf etwas Verdächtiges geklickt haben, ist Vorsicht besser als Nachsicht.

  1. Ändern Sie unverzüglich Ihr Passwort für das betroffene Konto und für sämtliche Konten, für die Sie dieselben Anmeldedaten nutzen.
  2. Heben Sie die Internetverbindung für das kompromittierte Gerät auf sowie dessen Verbindung zu sämtlichen Netzwerken und externen Festplatten, um eine mögliche Malware-Infektion einzudämmen.
  3. Untersuchen Sie Ihr Gerät auf Malware und befolgen Sie anschließend die Anweisungen Ihres Virenschutzprogramms, um alle entdeckten verdächtigen Dateien zu entfernen oder unter Quarantäne zu stellen.
  4. Fertigen Sie ein Back-up Ihrer Dateien an, um Erpressersoftware-Angreifern den Wind aus den Segeln zu nehmen und potenzielle Datenverluste als Folge einer Malware-Infektion zu verhindern.
  5. Machen Sie kein Geheimnis daraus: Wenn Ihr Firmengerät kompromittiert wurde, wenden Sie sich unbedingt an Ihre IT-Abteilung und warten Sie auf deren Anweisungen.