Diverse Studien zeigen: Cyberkriminelle nutzen die Corona-Pandemie schamlos für ihre Zwecke aus. So hat zum Beispiel die Anzahl an Phishing-Webseiten seit Beginn der Pandemie sehr stark zugenommen [1]. Vor allem E-Mails, die in der Betreffzeile den Begriff COVID-19 enthalten, gelten als besonders gefährlich.

Die Ziele der Cyberkriminellen sind dabei meistens vertrauliche Informationen, wie beispielsweise die Zugangsdaten zum E-Banking oder zu Online-Shops. Das Vorgehen ist in der Regel immer dasselbe. In E-Mails wird darauf hingewiesen, dass die Anmelde- oder Kontoinformationen nicht mehr aktuell seien und unter dem der E-Mail beigefügten Link aktualisiert werden müssen. Die Angreifer geben dabei eine falsche Identität vor und nutzen die Gutgläubigkeit ihrer Opfer aus, um deren vertrauliche Informationen zu stehlen.

Alternativ oder zusätzlich werden solchen E-Mails oft auch Anhänge beigefügt, welche einen Trojaner enthalten, der sich beim Öffnen automatisch installiert und später vertrauliche Informationen des Opfers oder gar das gesamte Unternehmensnetzwerk ausspioniert.

Aber nicht nur mittels E-Mail wird versucht an vertrauliche Informationen zu gelangen oder Malware zu installieren; es existieren noch weitere Methoden, um an die begehrten Daten und Zugänge zu gelangen. Nachfolgend ein Überblick über die am meisten verbreiteten Phishing-Varianten.

Klassisches Phishing

Beim klassischen Phishing versuchen Cyberkriminelle ihre Opfer wie oben beschrieben mithilfe von gefälschten E-Mails, welche meistens massenhaft versendet werden, auf gefälschte Webseiten zu locken und dazu zu bringen, dort vertrauliche Informationen einzugeben. Oder sie versuchen mittels Malware an die gewünschten Informationen zu gelangen.

Spear Phishing

Der grosse Unterschied zum klassischen Phishing ist, dass beim Spear Phishing die Opfer gezielt ausgewählt und persönlich angeschrieben werden. Eine häufige Masche ist, dass der Absender der E-Mail vorgibt, ein leitender Mitarbeiter zu sein, der die Vollmacht hat, Überweisungen (an betrügerische Unternehmen) aufzugeben.

Um überzeugend Kontakt herzustellen, bedienen sich die Angreifer meistens Social Engineering-Techniken und tarnen sich als vertrauenswürdige Person, die das Opfer kennt, wie zum Beispiel als Mitarbeiter, Geschäftspartner oder Bekannter. Dem Angreifer gelingt dies, indem er sein Opfer vorgängig im Internet und in den sozialen Medien ausspioniert. Da solche E-Mails glaubwürdig und authentisch wirken, werden sie von Spam-Filtern oft nicht erkannt und somit auch nicht blockiert.

Smishing (SMS-Phishing)

Eine SMS mit dem Text und einem Link: «Neue Voicemail: …». Solche SMS-Nachrichten wurden diesen Sommer massenhaft verschickt und zeigen, dass für Phishing-Angriffe vermehrt auch Kurznachrichtendienste wie SMS, MMS, WhatsApp etc. eingesetzt werden [2].

Das perfide an dieser Phishing-Variante ist, dass die meisten Kriterien zur Erkennung von Phishing E-Mails (siehe weiter unten) bei Kurznachrichten nicht anwendbar sind: Oft fehlt eine persönliche Anrede. Sprache und Gestaltung der Kurznachrichten sind zu einfach und zu knapp, um Rückschlüsse auf eine mögliche Fälschung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten mobilen Geräten nur schwer überprüfen.

Vishing (Voice-Phishing)

Vishing ist die sprachbasierte, respektive telefonische Variante des Phishings. Ähnlich wie beim klassischen Phishing werden die Opfer durch gut ausgedachte Geschichten dazu verleitet, vertrauliche Informationen via Telefon preiszugeben.

QR-Phishing

Beim QR-Phishing überkleben Cyberkriminelle QR-Codes (Quick Response-Codes) an häufig frequentierten Orten durch eigene manipulierte oder sie behaupten in E-Mails, es liege ein wichtiges Dokument zur Abholung bereit. Um auf dieses zugreifen zu können, sollen die Empfänger mit ihrem mobilen Gerät den in der E-Mail enthaltenen QR-Code scannen.

Auf diese Weise können auf mobilen Geräten gefälschte Webseiten angezeigt, Downloads gestartet und Skripte ausgeführt werden.

Wie schütze ich mich vor Phishing?

Der effizienteste Schutz vor Phishing ist das Wissen um Phishing. Benutzen Sie dieses Wissen sowie Ihren gesunden Menschenverstand und glauben Sie nicht alles, was Sie in E-Mails, Kurznachrichten und auf Webseiten lesen und was Sie am Telefon hören. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, vertrauliche Informationen, wie zum Beispiel Anmeldedaten oder Passwörter, preiszugeben – auch nicht aus Gründen der Sicherheit!

Darüber hinaus gilt es folgende Tipps zu beherzigen:

• Verwenden Sie nie einen Link, der Ihnen per E-Mail oder Kurznachricht zugeschickt wurde oder den Sie per QR-Code eingescannt haben, um sich bei einem Online-Dienst anzumelden.
• Geben Sie die Adresse zur Anmeldeseite des Online-Dienstes immer manuell in der Adresszeile Ihres Browsers ein.
• Vergewissern Sie sich beim Aufruf der Anmeldeseite, dass es sich um eine sichere Verbindung handelt.
• Behandeln Sie Anhänge von E-Mails und Kurznachrichten mit grösster Vorsicht.
• Geben Sie auch in Telefongesprächen nie vertrauliche Informationen preis.

Wie oben erwähnt, ist auf eine sichere Verbindung zu achten. Diese wird in Ihrem Browser durch folgende Merkmale ersichtlich gemacht:

• Der Browser zeigt ein Schloss-Symbol in der Adresszeile an.
• Der Browser zeigt den richtigen Namen des Online-Dienstes an, welcher entweder neben dem Schloss oder nach einem Klick auf das Schloss unter «Ausgestellt für:» angezeigt wird.
• Der Browser zeigt den richtigen Domänen-Namen in der Adresszeile an.

Möchten Sie nun Ihr Phishing-Wissen überprüfen? Hier können Sie sich selbst testen: www.ebas.ch/phishing-test

Haben Sie eine Phishing E-Mail erhalten oder haben Sie eine Phishing Webseite gefunden?
Hier können Sie diese in melden:

• Schweiz – www.antiphishing.ch
• Österreich das Watchlist Formular
• Deutschland – Phishing-E-Mail an weiterleiten

Quellen

[1] https://de.statista.com/statistik/daten/studie/73876/umfrage/anzahl-der-gemeldeten-phishing-webseiten-weltweit/

[2] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/aktuelle-vorfaelle.html

 Autor: Dominik Schupp

«eBanking – aber sicher!»

«eBanking – aber sicher!» (EBAS) ist eine unabhängige Plattform der Hochschule Luzern – Informatik, die Sie dabei unterstützt, Ihre persönliche Informationssicherheit mit Fokus auf E-Banking wahrzunehmen. Die Website www.ebas.ch bietet umfassende und praxisnahe Informationen im Bereich der Informationssicherheit, die darauf abzielen, die Sicherheit digitaler Bankgeschäfte (E-Banking, Mobile Banking, Payment etc.) zu gewährleisten. Die Informationen richten sich sowohl an Anfängerinnen und Anfänger als auch an erfahrene E-Banking-Anwendende und werden zum Teil auch spielerisch, wie beim Phishing-Test oder Ransomware-Game vermittelt. Die Website dient somit als umfassende Informationsquelle für alle, die ihre elektronischen Bankgeschäfte sicher gestalten möchten. Des Weiteren bietet EBAS Kurse zu verschiedenen Themen (Mobile, Kryptowährungen etc.) und Zielgruppen (z.B. Endkunden, KMU).