Die Tricks der Phishing-Gauner: Plötzlich hängen Sie am Haken

Auf einen Blick:

• Mit gefälschten Webseiten auf Opfersuche: Sicherheitsexperte Patrick Jung zeigt, wie leicht Cyber-Kriminelle innerhalb von Minuten einen erschreckend guten Phishing-Angriff starten.
• Die größte Sicherheitslücke ist der Mensch: Wenigstens jeder dritte Nutzer klickt auf die gefährlichen Links der Phishing-Mails, zeigt eine Analyse.
• Wirksame Mittel: Beachten Sie diese fünf Tipps vom Sicherheitsexperten um gegen Phishing besser gewappnet zu sein.

Spectre, Meltdown, ausgeklügelte Hackerangriffe per Drive-by-Download – diese Dinge dürfen Sie für den Moment getrost vergessen. Denn die wohl größte Bedrohung für Ihre Sicherheit sitzt 50 Zentimeter vor dem Bildschirm: Viele Hacker knacken lieber die Benutzer, statt ihre Computersysteme. Das nennt sich Social Engineering und ist auf gut deutsch tückischer Betrug.

Eine Variante: Phishing. Dem Nutzer wird vorgegaukelt, er hätte es mit einer vertrauenswürdigen E-Mail zu tun. Mit gut gefälschten Internetseiten kommen die Angreifer dabei leicht an ihr Ziel: Zugangsdaten, Kontoinformationen oder die digitale Identität ihrer Opfer.

„Phishing ist immer und immer und immer wieder ein Einfallstor ins Unternehmen“, betont Patrick Jung vom Hamburger IT-Sicherheitsunternehmen Secion auf dem Cyber-Sicherheitstag beim Zentralverband des Deutschen Handwerk in Berlin. Dann führt er dem Publikum aus Handwerksbetrieben und -verbänden live vor, mit welch einfachen Mitteln sich in zwei Minuten ein beeindruckender Phishing-Angriff durchführen lässt.

Jung nutzt dafür ein Tool, das im Netz frei verfügbar ist: Kali Linux. Es kann für Sicherheitstests legal oder von Kriminellen illegal genutzt werden. Für eine erfolgreiche Attacke müsse man kein Superhacker sein, sagt Jung: „Es gibt menügeführte Tools, für die ich gar nicht so viele Befehle kennen muss.“ Jung tritt den Beweis an. Er navigiert sich durch ein leicht verständliches Menü in Kali Linux und stellt sich Schritt für Schritt seinen Wunschangriff zusammen.

Der Experte will eine Website klonen und ein unwissendes Opfer auf diese Seite locken, um an dessen Zugangsdaten zu gelangen. Er wählt die passenden Menüpunkte aus und gibt die Adresse einer zu klonenden Seite ein. Innerhalb von Sekunden steht der Klon an seinem Wunschort im Internet bereit. Jung hat eine Bürobedarfs-Website namens staples.de geklont– er hätte aber auch jede andere Seite wählen können, die der Sparkasse etwa oder dem Online-Bezahldienst Paypal.

Nachdem die Falle steht, braucht es nur noch eine bösartige E-Mail, die an eine Liste potenzieller Opfer geschickt wird. Darin bedankt sich etwa der staples.de-Vertrieb für die Bestellung von ein paar teuren Notebooks (die nie stattgefunden hat). Außerdem hinterlässt er einen Link zum Stornieren. „Wir wollen, dass der Nutzer da drauf klickt“, sagt Jung. Der Link führt auf den Website-Klon. Gibt der Nutzer dort seine Daten ein, werden sie vom Hackerprogramm ausgelesen. Fertig ist der Diebstahl.

Doch wer fällt überhaupt noch auf solche falschen E-Mails herein? Laut aktuellen Zahlen des IT-Sicherheitsunternehmens Keepnet Labs fast jeder Dritte! Keepnet führt im Auftrag von Unternehmen Phishing-Tests durch. Dabei werden harmlose Phishing-Mails an Mitarbeiter verschickt. Anschließend wird ausgewertet, wie viele Mitarbeiter sich täuschen ließen. Ergebnis aus Tests in 128 Unternehmen mit 126.000 Phishing-Mails: 31,5 Prozent der Nutzer klickten auf einen Link in der Phishing-Mail. Klingt viel? Es geht noch schlimmer: In einer Studie der Universität Erlangen-Nürnberg unter 1600 Studenten klickte gut jeder zweite auf einen potenziell bösartigen E-Mail-Link.

Diese Verhaltensregeln helfen, nicht auf Phishing-Attacken hereinzufallen.

• Trauen Sie keiner Absenderadresse! Ob technisch ausgefeilt oder mit simplen Tricks: Die Möglichkeiten E-Mail-Absender zu fälschen und zu verschleiern sind groß. Trauen Sie daher keinem vermeintlich vertrauenswürdigen Absender.
• Vorsicht bei den Links: Links auf gefälschte Webseiten sind nicht immer leicht zu erkennen. Domains wie pay-pal.com, paypal.de.sx oder papal.com kann jeder frei im Netz kaufen, auch um Nutzer zu täuschen. Fahren Sie vor einem Klick mit der Maus über den Link, damit Ihnen die Zieladresse des Links angezeigt wird und prüfen Sie genau, ob es sich wirklich um die Ihnen bekannte Originalseite handelt.
• Nutzen Sie lokale Schutzsoftware gegen Viren und Betrüger. „Es gibt auch Antivirensysteme, die einen Browserschutz haben und vor Webseiten warnen“, sagt Jung.
• Richten Sie sich wenn möglich einen Proxy ein, über den alle Computer in das Internet gehen. „Dieser filtert nochmal auf Viren und falsche Webseiten“, sagt Jung.
• Schulen Sie Ihre Mitarbeiter: Nur wenn Sie auf das Thema immer wieder aufmerksam machen, schaffen Sie ein Gefahrenbewusstsein.

Auch interessant: