Worin liegt der Unterschied bei einer Phishing-Mail und einer gefälschten Mahnung per Post? Fällt dies auch unter Phishing? Um eine Antwort auf diese Frage zu bekommen, führte G DATA Praktikantin Anna ein Interview mit Security Evangelist Tim Berghoff.
Zwei Wochen hat Anna ein Praktikum in der Unternehmenskommunikation bei G DATA gemacht. Ein besonderes Highlight: Die Vorbereitung und Durchführung eines Interviews mit unserem Security Evangelist Tim Berghoff zum Thema Phishing. So lernte sie gleich mehrere Perspektiven kennen:
Als sie anfing, das Interview vorzubereiten und zu dem Thema Phishing zu recherchieren, erinnerte sie sich an einen Vorfall in ihrer Familie: Ihr Vater erhielt eine Mahnung per Post von „Lidl“ und wurde stutzig, da er dort nie etwas bestellt hatte. Die Sache war eindeutig: Die Zahlungserinnerung war gefälscht. Die Frage, ob es sich hier um Phishing handelt, beantwortete ihr Tim Berghoff im Interview und gab außerdem Tipps, was typische Phishing-Merkmale sind.
Phishing ist eine Angriffsmethode aus dem Bereich „Social Engineering“. Die Angreifer versuchen dazu über eine gefälschte Nachricht an persönliche oder schützenswerte Daten von Privatpersonen oder Unternehmen heranzukommen. Häufig geschieht dies über eine E-Mail, die einen gefälschten Link enthält. Die Angreifer versuchen an vertrauliche Informationen zu gelangen, wie Passwörter, Benutzernamen oder auch Kreditkartennummern. So wie der Name Phishing auch schon verrät, sollen Daten abgefischt werden.
Das primäre Ziel der Täter ist es, einen finanziellen Gewinn mit Hilfe der gewonnenen Daten zu erreichen. Dabei ist es völlig egal, um wessen Informationen es sich handelt. Sowohl Privatpersonen als auch Unternehmen sind für die Kriminellen interessant. Denn es geht um die Masse der Passwörter, Namen oder E-Mail-Adresse, die dann von den Cyberkriminellen im Darknet verkauft werden. Phishing-Angriffe werden auch dazu genutzt, um an vertrauliche Unternehmensdaten zu kommen.
Es handelt sich meistens um E-Mails, die dazu auffordern, einen Link anzuklicken. Dieser Link führt zu vermeintlichen Webseiten, zum Beispiel von Banken oder anderen Zahlungsdienstleistern. Auf den ersten Blick erkennt man häufig nicht, dass etwas nicht stimmt. Die Cyberkriminellen ahmen den Internetauftritt der jeweiligen Seite nahezu perfekt nach, sodass das Corporate Design wie Firmenlogo und Layout zum Verwechseln ähnlichsieht. Nicht nur über die Nachahmung professionell aussehender Webseiten erreichen Angreifer ihr Ziel. Sie arbeiten oft auch mit psychologischem Druck. Es wird beispielsweise suggeriert, dass das Konto gesperrt wird, wenn die Daten nicht umgehend eingegeben werden.
Mein Vater hat vor Kurzem ein Mahnschreiben per Post erhalten. Angeblich sollte er bei der Firma „Lidl“ etwas bestellt und nicht gezahlt haben. Allerdings hatte er dort noch nie etwas bestellt und wusste sofort, dass es sich um ein Fake-Schreiben handeln muss.
Nein, hierbei handelt es sich um klassischen Betrug. Es ist eine gängige Masche, dass Rechnungen für Waren verschickt werden, die nie bestellt wurden. Das kann auch zu einem weiterführenden Problem führen, dem Identitätsdiebstahl. Dabei nutzen die Täter personenbezogene Daten, um zum Beispiel auf fremden Namen Waren zu bestellen oder kostenpflichtige Abonnements abzuschließen. Im Vergleich zum Phishing hat dies deutlich dramatischere Auswirkungen. Denn ein Identitätsdiebstahl kann im schlimmsten Fall dazu führen, dass die Opfer ihre Liquidität und Kreditwürdigkeit verlieren. Hier ist es wichtig, den Vorfall zu dokumentieren und gegebenenfalls Kontakt zu dem vermeintlichen Absender aufzunehmen. Allerdings sollte man nicht die Kontaktdaten aus dem Briefkopf verwenden, da diese meist ebenfalls gefälscht sind und direkt zu den Tätern führen. Daher empfiehlt es sich im Netz nach der offiziellen Telefonnummer oder Mailadresse zu suchen, insbesondere dann, wenn der Absender ein bekanntes Unternehmen ist.
Beim klassischen Betrug versuchen die Täter auf direktem Weg an das Geld des Opfers zu gelangen, wie bei der Masche mit einer gefälschten Mahnung per Post. Im Unterschied dazu, geht es beim Phishing in erster Linie darum, an persönliche Daten wie Passwörter zu kommen. In den meisten Fällen erfolgt Phishing über elektronische Kommunikationsmittel wie E-Mail oder Telefon und nicht auf postalischem Weg.
Häufig werden in den gefälschten E-Mails Begriffe wie Mahnung oder Kontopfändung von den Tätern verwendet. Am wichtigsten ist es, sich nicht einschüchtern zu lassen und unüberlegt oder übereilt Links anzuklicken. Wenn mit enormem Druck gearbeitet wird, sollten die Alarmglocken angehen. Es gilt: Beispielsweise bei Kontosperrungen bedarf es immer der Schriftform, also einem postalisch zugeschickten Brief. Im Zweifelsfall hilft es auch Kontakt zu der eigenen Bank aufzunehmen und nachzufragen, ob es sich um eine echte E-Mail handelt. Bei Unternehmen ist es besonders wichtig, dass Rechnungen immer einem Auftrag zugeordnet werden können. Ist dies nicht der Fall, ist Skepsis an der Echtheit angebracht und ab gewissen Beträgen die Freigabe und Überprüfung durch eine zweite Person sinnvoll.
Das ideale Opfer für Phishing hat von IT so wenig Ahnung wie nur möglich. Gerade bei älteren Leuten ist das Risiko sehr hoch, auf solche Betrugsmaschen hereinzufallen. Fakt ist aber, dass jeder mit einem E-Mail-Postfach von Phishing betroffen sein kann.
Folgende fünf Tipps habe ich, woran Phishing erkennbar ist:
Mehr Tipps gibt es im G DATA Ratgeber „Phishing-Mails erkennen“.