Die Mail kommt von Microsoft, so steht es zumindest im Absender. Betreff: „Login mit neuem Gerät.“ Das ist erst mal keine ungewöhnliche Benachrichtigung, wenn man den Account typischerweise über verschiedene Wege aufruft – mal über das Handy, mal über das Tablet und über verschiedene Browser. Die Panik kommt erst beim Öffnen auf: Der Login erfolgte anscheinend tief in der Nacht in Russland. „Das kann ich nicht gewesen sein!“, denken sich Betroffene. Die Mail bietet gleich eine Lösung: Über einen Link könne man den Account ganz einfach schützen, indem man das Passwort ändert – man müsse aber schnell sein.

Wenn Empfängerinnen und Empfänger solchen Mails blind vertrauen, kann das für sie böse enden. Die Website, auf die sie per Klick auf den Link landen, sieht oft – ebenso wie die Mail – verblüffend echt aus. Doch in Wahrheit handelt es sich um gefälschte Seiten, mit der Täterinnen und Täter wertvolle personenbezogene Daten abgreifen wollen. Die Betrugsmasche „Phishing“ ist eine bekannte Gefahr: Kriminelle wollen Menschen mit gefälschten Mails in die Falle locken. Viele dürften sich beispielsweise Anfang der 2000er an die Masche mit einem ausgedachten nigerianischen Prinzen zurück erinnern, der in der Mail Auserwählten sein Vermögen vermachten wollte – sie müssen dafür nur ihre Bankdaten preisgeben.

Mehr zum Thema

 

Zahl der Cyberattacken nimmt zu

Experte zu Hackerangriffen: „Die Gefahr ist bombastisch gestiegen“

 

Szenarien durchgespielt

Mögliche Angriffe: Spezialkräfte der Bundespolizei wappnen sich gegen Blackout

 

Anschläge auf die Infrakstruktur

General Breuer: „Jede Umspannstation, jedes Kraftwerk, jede Pipeline kann attackiert werden“

Experte: Phishingmails inzwischen „schwer von echten zu unterscheiden“

So alt solche Maschen auch sein mögen: Sie sind immer noch ein beliebtes Mittel von Online-Kriminellen. „Die Gefahr hat nicht abgenommen. Phishing ist für Täter immer noch ein äußerst lukratives Geschäft und inzwischen sind die Mails leider so gut gemacht, dass sie für Laien schwer von echten zu unterscheiden sind“, sagt Thorsten Urbanski, Sicherheitsexperte beim IT-Sicherheitsunternehmen Eset. Inzwischen lasse sich so gut wie alles fälschen: Die Mail, die als Absender angezeigt wird, gleicht der echten Adresse – und auch die Optik samt Text, Betreff und Logos entspricht exakt einer echten Mail, die typischerweise vom Absender kommt. Beispielswiese eine Benachrichtigung über den Versand eines Pakets.

Dass ein aktuell beliebter Aufhänger für Angreiferinnen und Angreifer – wie im eingangs erwähnten Beispiel – Russland ist, hat einen Grund. „Kriminelle nutzen oft einen aktuellen Bezug aus, um Neugier oder Angst zu wecken. Krisen wie Corona und der Krieg in der Ukraine oder auch Katastrophen wie Erdbeben sind deswegen häufige Themen in Phishingmails“, erklärt Urbanski. Denn wenn sich bestimmte Themen in der Medienberichterstattung wiederfinden oder im Alltag präsent seien, erhöhe das die Relevanz für die Empfängerinnen und Empfänger.

Eine Mail über einen Zugriff auf den Account aus Russland lässt bei vielen Menschen also sofort die Alarmglocken läuten, weil sich Berichte über russische Hackerinnen und Hacker im Zuge des Kriegs in der Ukraine häuften. Und auch eine Mail über ein angeblich bestelltes Paket macht neugierig – vor allem dann, wenn man wirklich eines erwartet und die Mail Sendungsinformationen anbietet. Kriminelle erhoffen sich dadurch, dass diese Mails mit ihren emotionsbehafteten Themen Menschen dazu verleiten, besonders schnell auf die Anweisungen zu reagieren.

Mail vom Gesundheitsamt: Täter nutzen „Autoritätshörigkeit“ als menschliche Schwachstelle aus

Weil Aktualität ein wichtiger Aspekt für Online-Kriminelle ist, führten sie laut Urbanski ihre Spamkampagnen stets nach Plan durch. Jedoch kann es auch vorkommen, dass ältere Themen wie Corona oder Online-Shopping ein erfolgsversprechender Aufhänger ihrer Phishingmails sind, obwohl sie für Menschen in Zeiten des Russischen Angriffs auf die Ukraine und die Energiekrise eher zweitrangig erscheinen. Denn auch für sie gibt es ideale Zeitpunkte, die sich Angreiferinnen und Angreifer zunutze machen. „An Weihnachten schicken Täter klassischerweise Mails mit vermeintlichen Online-Einkäufen – und wenn die Corona-Infektionszahlen wieder steigen, lohnt es sich für sie auch, auf Covid zurückzugreifen“, sagt Urbanski. Denn wenn sich die Angreifenden im Herbst und Winter bei hoher Inzidenz als Gesundheitsamt ausgeben und über einen Kontakt zu einer infizierten Person informieren, löst das bei vielen Menschen Angst aus.

Anders als bei Hackerangriffen, die es auf Schwachstellen in der IT-Infrastruktur ihrer Ziele absehen, versuchen Kriminelle mit Phishingmails die Schwachstelle Mensch auszunutzen. Der US-amerikanische Psychologieprofessor Robert B. Cialdini beschrieb in seinem 1984 erstmals veröffentlichten Buch „Die Psychologie des Überzeugens“ die sechs Schwachstellen des Menschen. Eine davon ist die „Autoritätshörigkeit“: erhalten sie also eine Mail vom Gesundheitsamt oder einem großen Unternehmen wie Microsoft, dann bewerten sie die meisten als besonders dringend und wichtig.

Hinweise auf Phishing: Zeitdruck und kein persönlicher Bezug

Genau das wollen Phisher bezwecken, indem sie sich als wichtige Behörde oder Unternehmen ausgeben und zudem eine zeitliche Dringlichkeit vorgaukeln. Etwa mit Sätzen wie, „ändern Sie sofort ihr Passwort, da wir sonst Ihren Account sperren müssen“. „Da sollte man hellhörig werden: Das sind typische Maschen von Kriminellen, um Druck aufzubauen – in seriösen Mails würde so etwas für gewöhnlich nicht gefordert werden“, betont Urbanski. Ein Kreditkartenunternehmen oder eine Bank würde außerdem nie aus heiterem Himmel verlangen, schnellstmöglich die Pin zu ändern.

Der Experte rät zudem, die Plausibilität der Mail sowie den persönlichen Bezug infrage zu stellen: Bekomme ich eine Nachricht mit Sendungsverfolgungsnummer, obwohl ich nichts bestellt habe? Dann ist die Mail schon mal suspekt. Aber auch wenn man ein Paket erwartet – oder gleich mehrere – sollte man lieber nicht automatisch in jeder Mail auf den Link klicken. „Ich empfehle, die Internetadresse händisch einzugeben und dort den Status der Sendung einzusehen“, sagt Urbanski. Zudem sollten sich Empfängerinnen und Empfänger stets fragen: Ist die Mail an mich persönlich gerichtet oder sind die Formulierungen allgemein und unspezifisch? Letzteres ist ein mögliches Kennzeichen einer Phishingmail – schließlich schicken Täterinnen und Täter teils Millionen Mails ab.

Mehr zum Thema

 

Angriffe auf die Infrastruktur

Sabotage und Cyberkrieg: Wie anfällig Deutschlands Versorgung ist

 

Angst vor dem Blackout

Wie verwundbar sind unsere kritischen Infrastrukturen?

 

Nach weltweiten Websiteausfällen: Wie sicher ist unser Internet?

Absender und Linkadressen weisen auf Betrugsmaschen hin

Ein weiteres Erkennungsmerkmal ist die Absender-Adresse: Sieht die Zeile kryptisch aus, sollte man skeptisch werden und sich auch nicht davon beirren lassen, wenn in der Adresse vereinzelt der Name des vermeintlichen Absenders auftaucht. Korrekt aussehenden Mailadressen sollte man jedoch auch nicht einfach so vertrauen: Mit sogenanntem „Spoofing“ schaffen es Täterinnen und Täter, die echte Mailadressen als Absender anzugeben, obwohl sie von einem anderen Account aus gesendet wurde. Auch das sei laut Urbanski leider leichter, als man denkt. Teilweise erhalten Menschen sogar vermeintlich Mails von ihrer eigenen Adresse, womit Kriminelle den Eindruck erwecken wollen, dass sie bereits Zugriff auf ihr Mailkonto haben – und ihn nur gegen eine Zahlung wieder freigeben.

Auch die Links in der Mail können ein Hinweis auf einen Phishingversuch geben: Wer mit der Maus über dem Link(-button) verharrt, ohne darauf zu klicken, bekommt in der Regel unten Rechts im Mailfenster einen Link eingeblendet. Wenn dort keine seriöse, sondern eine kryptische Adresse eingeblendet wird, deutet das auf eine Phishingwebsite hin. Aber Achtung: Auch wenn eine Adresse als „safelink“ gekennzeichnet ist, heißt das noch nicht, dass sie auch zu einer sicheren Seite führt.

Deutlich einfacher zu erkennen sind Mails, die viele Rechtschreib- und Grammatikfehler im Text, Impressum oder Betreff aufweisen. Eine Behörde würde sich Fehler in einer derartigen Häufigkeit kaum erlauben. Solche Mails werden oft aber ohnehin als Spam erkannt und vom Maildienst in den entsprechenden Ordner gepackt.

Sabotage und Cyberkrieg: Wie anfällig Deutschlands Versorgung ist

Wird das deutsche Stromnetz angegriffen, kämpfen zuerst kranke und pflege­bedürftige Menschen um ihr Leben. Aber auch bei Anschlägen auf die Trinkwasser­versorgung, auf staatliche Lebensmittel­vorräte oder Verwaltungen können enorme Schäden entstehen. Ein Überblick über potenzielle Gefahren.

Jetzt mit RND+ lesen

Gefährliche Folgen: Phishing kann zu Identitätsdiebstahl führen

Bei einer eindeutigen Phishingmail gilt: direkt löschen. Wer aber eine ungewöhnliche oder suspekte Mail erhält und sich nicht sicher ist, ob sie seriös ist, sollte nie voreilig reagieren und auch dann die Ruhe bewahren, wenn die Mail etwas Bedrohliches wie einen unbekannten Zugriff auf den Account angibt. „Am wichtigsten ist es, auf keinen Fall auf die Links zu klicken. Täter greifen dort eingegebene Daten ab – und bei schlecht geschützten Systemen kann allein das Abrufen der Seite dazu führen, dass Schadcodes automatisch den Rechner infizieren“, warnt Urbanski. Auch Anhänge in auffälligen Mails können Schadsoftware auf den Computer bringen – deshalb sollten sie auch nicht geöffnet werden, zumal es schlimmstenfalls dann auch zu Erpressungen kommen könnte. Auf Mails zu antworten sei auch keine gute Idee – denn dann wüssten Täterinnen und Täter, dass die Mail echt ist und schicken erst recht viele Phishingmails an die Empfängerin oder den Empfänger.

Wenn man schon auf den Link geklickt hat und Daten eingegeben hat, können die Folgen gravierend sein. Was dann passieren kann, hängt vor allem davon ab, wie viele Daten die Kriminellen erbeuten konnten. Eventuell haben sie Zugriff auf den Mailaccount, die Social-Media-Profile – und teilweise kann es gar zu Identitätsdiebstahl kommen. „Wenn man sich dazu hinreißen gelassen hat, Bankdaten einzugeben, dann könnten sogar Verträge im Namen der Betroffenen abgeschlossen werden. Das kann so weit gehen, dass man Mahnbescheide oder eine negative Kreditwürdigkeit bekommt – und die einzige Lösung ist dann nur noch, das Bankkonto zu wechseln“, betont Urbanski. In diesem Fall müssten Betroffene sofort reagieren. „Sie müssen den Fall zur Anzeige bringen, denn sie müssen nachweisen, dass sie die ganzen Verträge nicht abgeschlossen haben und dass es sich um eine Straftat handelt“, betont der Experte.

Unternehmen wollen Bewusstsein für Phishing schaffen

Phishing ist noch immer eines der größten Einfallstore für Datendiebe. Zwar sind laut Urbanski bereits viele Menschen dafür sensibiliert. „Aber selbst wenn nur 0,1 Prozent der Empfänger auf solche Mails reinfallen, wäre das schon ein Erfolg für Täter – sie verschicken solche Mails millionenfach“, sagt er. Betroffen sind dabei nicht nur Unwissende, sondern auch die, die es eigentlich besser wissen sollten. Google, Facebook, der Bundestag und Stars wie Jennifer Lawrence – sie alle wurden schon Opfer von Phishingattacken. Kriminelle ergaunerten dabei teils Hunderte Millionen Dollar, im Fall von Lawrence gelangten Täter an ihre intimen Fotos und veröffentlichten sie.

Um ein Sicherheitsbewusstsein für Phishing zu schaffen, haben seit der Corona-Krise immer mehr Unternehmen Kampagnen im Kampf gegen Angreiferinnen und Angreifer begonnen. Denn gerade in Zeiten der Lockdowns haben viele Täterinnen und Täter versucht, Arbeitnehmerinnen und Arbeitnehmer im Homeoffice in die Falle zu locken. Vorgetäuschte Phishingmails sollen sie für solche Angriffe sensibilisieren – und zeigen, wie echt die Mails inzwischen aussehen können.