Phishing-Mails: Den Köder durchschauen
9. April 2024
Phishing ist eine (mehr oder weniger) raffinierte Betrugsmasche und nach wie vor das grösste Einfallstor in Unternehmensnetzwerke. Wir werfen einen Blick auf Stilblüten und „Fails“ – und vor allem darauf, wie man die fiesen Tricks rechtzeitig erkennt.
Bei Phishing handelt es sich um ein gezieltes Manöver, um an persönliche Informationen zu gelangen und/oder um finanziellen Schaden oder Reputationsverlust zu verursachen. Das primäre Ziel besteht häufig darin, ahnungslose Empfänger dazu zu bringen, vertrauliche Daten wie Passwörter, Kreditkarteninformationen oder persönliche Identifikationsdaten preiszugeben. Die Opfer werden in der Regel auf gefälschte Websites geleitet und aufgefordert, sensible Informationen einzugeben. Diese Informationen werden dann von Kriminellen für betrügerische Aktivitäten verwendet, sei es für den Diebstahl von Geld oder für Identitätsdiebstahl, Erpressung oder das Eindringen in Unternehmensnetzwerke. Manchmal wird beim Anklicken eines Links (z.B. zu einem gefälschten Zoom-Call) eine Schadsoftware direkt auf dem Computer installiert.
Die Taktiken sind vielfältig. Sie reichen von gefälschten E-Mails (oder SMS – dieser Artikel beschränkt sich jedoch auf das immer noch am weitesten verbreitete Angriffswerkzeug, die E-Mail), die vorgeben, von Banken, Behörden, vertrauenswürdigen Dienstleistern, Kunden, dem Chef oder Mitarbeitenden zu stammen, bis hin zu vermeintlichen Gewinnbenachrichtigungen. Phishing zielt darauf ab, die emotionale Reaktion der Empfänger – sei es Angst, Neugier oder Gier – auszunutzen, um sie zu Handlungen zu verleiten, die sie unter normalen Umständen nicht ausführen würden.
Stilblüten – Wenn Phishing kreativ wird
Phishing-Mails überraschen bisweilen mit einer seltsamen Kreativität. Ob schlechte Übersetzungen (“Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen” oder „Açtion Required“), überzogene Behauptungen (die Masche mit dem Nigerianischen Prinz kennt mittlerweile wohl jeder) oder abenteuerliche Geschichten („Jemand hat gerade mit Ihrem Passwort versucht, sich in Ihr Konto einzuloggen. Wir haben es blockiert, aber zu Ihrer Sicherheit überprüfen Sie Ihre Kontobewegungen -Link hier“) – die Versuche der Manipulation können durchaus kurios erscheinen. Doch hinter der Fassade der Skurrilität lauert die Gefahr ernsthafter Bedrohungen.
Die grössten „Fails“ – Lektionen aus Phishing-Pannen
Auch in der Welt des Internetbetrugs sind Täuschungsmeister nicht unfehlbar. Unbeabsichtigte Rechtschreibfehler, komische Orographie (wie etwa „ç“ oder „ß“ in vermeintlich schweizerdeutschen Texten), inkonsistente Absender- und Domain-Adressen sowie andere Ausrutscher (etwa „Gesendet von meinem iPad“ unter einer bekannten Signatur oder Texte verfasst in einer anderen als der bisher gewohnten Firmensprache) sind verräterische Signale. Diese Pannen sind nicht nur amüsant, sondern auch lehrreich.
Woran erkenne ich Phishing-Mails?
Um einen Phishing-Versuch zu erkennen, braucht es etwas Erfahrung und einen gesunden Menschenverstand. Achten Sie auf verdächtige Absenderadressen, insbesondere wenn sie nicht mit der angeblichen Organisation übereinstimmen. Seien Sie misstrauisch bei unerwarteten Anhängen oder Links (niemals daraufklicken!) und überprüfen Sie die URL sorgfältig auf Tippfehler oder Unstimmigkeiten. Misstrauen ist auch angebracht, wenn versucht wird, ein Gefühl der Dringlichkeit zu erzeugen und wenn mit Konsequenzen gedroht wird, wie z.B. Geldverlust, Strafanzeige oder Sperrung der Kreditkarte. Sätze wie „Klicken Sie jetzt, sonst…“ sollten uns grundsätzlich aufhorchen lassen und eine gesunde Portion Skepsis auslösen.
KI-Generierte Täuschung – Eine neue Dimension der Bedrohung
Mit dem Fortschritt der KI-Technologie erreicht die Raffinesse von Phishing-E-Mails eine neue Stufe. KI-Tools sind nun in der Lage, menschenähnliche Texte zu erzeugen und traditionelle Phishing-Angriffe realistischer zu gestalten, indem sie Rechtschreib- und Grammatikfehler vermeiden und einen überzeugend professionellen Schreibstil verwenden. Dadurch wird es noch schwieriger, echte von gefälschten Nachrichten zu unterscheiden. Zudem können Chatbots & Co. Phishing-Kampagnen viel schneller erstellen und verbreiten, als es Menschen je alleine könnten, was die Angriffsfläche enorm vergrössert. Andererseits kann KI – im Sinne von „Feuer mit Feuer bekämpfen“ – die Abwehr stärken. Richtig eingesetzt sind KI-Tools besonders geeignet, um KI-gestützte Phishing-Versuche zu erkennen. Generative KI-Modelle können auch Awareness-Schulungen wesentlich individueller, effizienter und effektiver gestalten.
Wachsamkeit zahlt sich aus
Phishing-Mails werden immer raffinierter, doch mit geschultem Auge lassen sich viele Angriffe erkennen und abwehren. Technische Sicherheitsmassnahmen wie Spamfilter oder Zwei-Faktor-Authentifizierung bieten zusätzlichen Schutz, reichen allein jedoch nicht aus. Letztlich ist es der Mensch, der den Unterschied macht: Wer die typischen Merkmale kennt und interne Prozesse zur Erkennung und Meldung etabliert, kann das Risiko erheblich senken. Entscheidend ist die Kombination aus technischer Absicherung und kontinuierlicher Awareness der Mitarbeitenden.
