Phishing, Smishing, Vishing: Achtung Datendiebstahl!

Eine E-Mail mit dem Betreff: «COVID-19: Richtlinie fürs Home-Office». Solche E-Mails werden seit Beginn der Corona-Pandemie massenhaft versendet und zählen aktuell zu den grössten Sicherheitsrisiken für Unternehmen.

Dominik Schupp, Senior Wissenschaftlicher Mitarbeiter Informationssicherheit & Datenschutz, Team «eBanking – aber sicher!» (www.ebas.ch), Hochschule Luzern – Informatik

Diverse Studien zeigen: Cyberkriminelle nutzen die Corona-Pandemie schamlos für ihre Zwecke aus. So hat zum Beispiel die Anzahl an Phishing-Webseiten seit Beginn der Pandemie sehr stark zugenommen [1]. Vor allem E-Mails, die in der Betreffzeile den Begriff COVID-19 enthalten, gelten als besonders gefährlich.

Die Ziele der Cyberkriminellen sind dabei meistens vertrauliche Informationen, wie beispielsweise die Zugangsdaten zum E-Banking oder zu Online-Shops. Das Vorgehen ist in der Regel immer dasselbe. In E-Mails wird darauf hingewiesen, dass die Anmelde- oder Kontoinformationen nicht mehr aktuell seien und unter dem der E-Mail beigefügten Link aktualisiert werden müssen. Die Angreifer geben dabei eine falsche Identität vor und nutzen die Gutgläubigkeit ihrer Opfer aus, um deren vertrauliche Informationen zu stehlen.

Alternativ oder zusätzlich werden solchen E-Mails oft auch Anhänge beigefügt, welche einen Trojaner enthalten, der sich beim Öffnen automatisch installiert und später vertrauliche Informationen des Opfers oder gar das gesamte Unternehmensnetzwerk ausspioniert.

Aber nicht nur mittels E-Mail wird versucht an vertrauliche Informationen zu gelangen oder Malware zu installieren; es existieren noch weitere Methoden, um an die begehrten Daten und Zugänge zu gelangen. Nachfolgend ein Überblick über die am meisten verbreiteten Phishing-Varianten.

Klassisches Phishing

Beim klassischen Phishing versuchen Cyberkriminelle ihre Opfer wie oben beschrieben mithilfe von gefälschten E-Mails, welche meistens massenhaft versendet werden, auf gefälschte Webseiten zu locken und dazu zu bringen, dort vertrauliche Informationen einzugeben. Oder sie versuchen mittels Malware an die gewünschten Informationen zu gelangen.

Spear Phishing

Der grosse Unterschied zum klassischen Phishing ist, dass beim Spear Phishing die Opfer gezielt ausgewählt und persönlich angeschrieben werden. Eine häufige Masche ist, dass der Absender der E-Mail vorgibt, ein leitender Mitarbeiter zu sein, der die Vollmacht hat, Überweisungen (an betrügerische Unternehmen) aufzugeben.

Um überzeugend Kontakt herzustellen, bedienen sich die Angreifer meistens Social Engineering-Techniken und tarnen sich als vertrauenswürdige Person, die das Opfer kennt, wie zum Beispiel als Mitarbeiter, Geschäftspartner oder Bekannter. Dem Angreifer gelingt dies, indem er sein Opfer vorgängig im Internet und in den sozialen Medien ausspioniert. Da solche E-Mails glaubwürdig und authentisch wirken, werden sie von Spam-Filtern oft nicht erkannt und somit auch nicht blockiert.

Smishing (SMS-Phishing)

Eine SMS mit dem Text und einem Link: «Neue Voicemail: …». Solche SMS-Nachrichten wurden diesen Sommer massenhaft verschickt und zeigen, dass für Phishing-Angriffe vermehrt auch Kurznachrichtendienste wie SMS, MMS, WhatsApp etc. eingesetzt werden [2].

Das perfide an dieser Phishing-Variante ist, dass die meisten Kriterien zur Erkennung von Phishing E-Mails (siehe weiter unten) bei Kurznachrichten nicht anwendbar sind: Oft fehlt eine persönliche Anrede. Sprache und Gestaltung der Kurznachrichten sind zu einfach und zu knapp, um Rückschlüsse auf eine mögliche Fälschung zu erlauben. Und der wahre Absender sowie der Link lassen sich mit den meisten mobilen Geräten nur schwer überprüfen.

Vishing (Voice-Phishing)

Vishing ist die sprachbasierte, respektive telefonische Variante des Phishings. Ähnlich wie beim klassischen Phishing werden die Opfer durch gut ausgedachte Geschichten dazu verleitet, vertrauliche Informationen via Telefon preiszugeben.

QR-Phishing

Beim QR-Phishing überkleben Cyberkriminelle QR-Codes (Quick Response-Codes) an häufig frequentierten Orten durch eigene manipulierte oder sie behaupten in E-Mails, es liege ein wichtiges Dokument zur Abholung bereit. Um auf dieses zugreifen zu können, sollen die Empfänger mit ihrem mobilen Gerät den in der E-Mail enthaltenen QR-Code scannen.

Auf diese Weise können auf mobilen Geräten gefälschte Webseiten angezeigt, Downloads gestartet und Skripte ausgeführt werden.

Wie schütze ich mich vor Phishing?

Der effizienteste Schutz vor Phishing ist das Wissen um Phishing. Benutzen Sie dieses Wissen sowie Ihren gesunden Menschenverstand und glauben Sie nicht alles, was Sie in E-Mails, Kurznachrichten und auf Webseiten lesen und was Sie am Telefon hören. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, vertrauliche Informationen, wie zum Beispiel Anmeldedaten oder Passwörter, preiszugeben – auch nicht aus Gründen der Sicherheit!

Darüber hinaus gilt es folgende Tipps zu beherzigen:

  • Verwenden Sie nie einen Link, der Ihnen per E-Mail oder Kurznachricht zugeschickt wurde oder den Sie per QR-Code eingescannt haben, um sich bei einem Online-Dienst anzumelden.
  • Geben Sie die Adresse zur Anmeldeseite des Online-Dienstes immer manuell in der Adresszeile Ihres Browsers ein.
  • Vergewissern Sie sich beim Aufruf der Anmeldeseite, dass es sich um eine sichere Verbindung handelt.
  • Behandeln Sie Anhänge von E-Mails und Kurznachrichten mit grösster Vorsicht.
  • Geben Sie auch in Telefongesprächen nie vertrauliche Informationen preis.

Wie oben erwähnt, ist auf eine sichere Verbindung zu achten. Diese wird in Ihrem Browser durch folgende Merkmale ersichtlich gemacht:

  • Der Browser zeigt ein Schloss-Symbol in der Adresszeile an.
  • Der Browser zeigt den richtigen Namen des Online-Dienstes an, welcher entweder neben dem Schloss oder nach einem Klick auf das Schloss unter «Ausgestellt für:» angezeigt wird.
  • Der Browser zeigt den richtigen Domänen-Namen in der Adresszeile an.

Möchten Sie nun Ihr Phishing-Wissen überprüfen? Hier können Sie sich selbst testen: www.ebas.ch/phishing-test

Haben Sie eine Phishing E-Mail erhalten oder haben Sie eine Phishing Webseite gefunden?
Hier können Sie diese in melden:

Quellen

[1] https://de.statista.com/statistik/daten/studie/73876/umfrage/anzahl-der-gemeldeten-phishing-webseiten-weltweit/

[2] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/aktuelle-vorfaelle.html

 

 Autor: Dominik Schupp

«eBanking – aber sicher!» ist eine unabhängige Plattform der Hochschule Luzern – Informatik, die Sie dabei unterstützt, Ihre persönliche Informationssicherheit mit Fokus auf E-Banking wahrzunehmen. Auf der Website www.ebas.ch finden Interessierte praxisnahe Informationen rund um das Thema Informationssicherheit und notwendige Massnahmen und Verhaltensregeln für eine sichere Anwendung von E-Banking-Applikationen.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More