Informationssicherheit
Phishing
Was ist Phishing?
Das Fischen nach Passwörtern hört sich harmloser an, als es in der Realität tatsächlich ist. Denn Phishing steht am Anfang verschiedenartiger Delikte, die vom "einfachen" Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das „normale“ Phishing wird in der Regel durch Spam-Mails realisiert, das heißt ohne gezielte Angriffe.
Spear-Phishing:
Das sogenannte Spear-Phishing richtet sich gezielt gegen bestimmte Firmen oder Organisationen. Deshalb sind solche Phishing-Mails mit oft hohem Aufwand und viel Akribie auf einen Empfänger zugeschnitten.
Wie funktioniert Phishing?
Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern Spam-E-Mails mit gefälschtem Absender die Empfänger zum Beispiel zu einer vorgeblich notwendigen Aktualisierung ihrer persönlichen Daten auf. Als Vorwand für die Bestätigung von Kontoinformationen wird dann zum Beispiel der baldige Ablauf einer Kreditkarte genannt. Oder das Passwort müsse wegen eines angeblichen Sicherheitsvorfalls erneuert werden. Dabei spekulieren die Kriminellen darauf, dass sich unter den Empfängern einer Spam-Welle stets genügend Kunden der im Absender genannten Organisation befinden. Kein Wunder, dass der Name großer Bankengruppen wie die Sparkassen oder Volks- und Raiffeisenbanken so häufig für Phishing-Spam missbraucht wird.
Nachahmung von Webseiten in Perfektion
Sowohl die Phishing-Mail selbst als auch die Website, auf die ein Link im Text verweist, sind dabei zumeist sorgfältig nachgeahmt. Cyber-Kriminelle verstehen ihr Handwerk. Allzu oft gelingt es ihnen, durch professionelle Imitation des Corporate Designs inklusive Logo, Farbgebung und Schriftarten der jeweiligen Organisation überzeugend Echtheit vorzutäuschen. Arglose Empfänger lassen sich so leichter dazu verleiten, auf einen Link in der Mail zu klicken – zumal er sich oftmals hinter einem perfekt designten Button verbirgt. Jetzt haben die Betrüger ihre Opfer genau da, wo sie sie hinhaben wollen: auf der gefälschten Website einer Organisation, die überall als vertrauenswürdig anerkannt ist.
Beispiele für Phishing Spam Mails finden Sie bei der Verbraucherzentrale Rheinland-Pfalz:
Wie erkennt man Phishing E-Mails?
Weitere Quellen und Übungsmöglichkeiten
Besonders empfehlen wir das No-Phis Quiz, welches von Secuso (Forschergruppe der Karslruher Institut für Technologie) entwickelt wurde:
https://nophish-quiz.secuso.org/
Eine zusätzliche Trainingsmöglichkeit bietet das E-Learning BITS. Hier können Sie unter der Lektion 1 – E-Mails weitere wichtige Hinweise zum Thema Phishing bzw. Gefährdungen bei der Nutzung von E-Mails lernen.
BITS | Behörden-IT-Sicherheitstraining (bits-training.de)
Es kann wirklich jeden treffen
Wenn Sie sich das NoPhish Quiz einmal ansehen, werden Sie schnell merken, dass es wirklich jeden treffen kann. Vom unerfahrenen IT-Nutzer bis hin zum IT-Spezialisten bzw. sogar IT-Sicherheits-Spezialisten.
Viele erfahrene IT und Internetnutzer sind bereits Opfer von Phishing Angriffen geworden. Darum zögern Sie nicht, wenn Sie den Verdacht haben, einmal eine falsche Einschätzung getroffen zu haben und melden Sie den Vorfall.
Sollten Sie versehentlich Passwörter mitgeteilt haben, ändern Sie diese sofort.