Phishing-Mails: Den Köder durchschauen
Phishing ist eine (mehr oder weniger) raffinierte Betrugsmasche und nach wie vor das grösste Einfallstor in Unternehmensnetzwerke. Dieser Artikel wirft einen Blick auf Stilblüten und "Fails" und vor allem darauf, wie man diese Täuschungen rechtzeitig erkennt.
Bei Phishing handelt es sich um ein gezieltes Manöver, um an persönliche Informationen zu gelangen und/oder um finanziellen Schaden oder Reputationsverlust zu verursachen. Das primäre Ziel besteht häufig darin, ahnungslose Empfänger dazu zu bringen, vertrauliche Daten wie Passwörter, Kreditkarteninformationen oder persönliche Identifikationsdaten preiszugeben. Die Opfer werden in der Regel auf gefälschte Websites geleitet und aufgefordert, sensible Informationen einzugeben. Diese Informationen werden dann von Kriminellen für betrügerische Aktivitäten verwendet, sei es für den Diebstahl von Geld oder für Identitätsdiebstahl, Erpressung oder das Eindringen in Unternehmensnetzwerke. Manchmal wird beim Anklicken eines Links (z.B. zu einem gefälschten Zoom-Call) eine Schadsoftware direkt auf dem Computer installiert.
Die Taktiken sind vielfältig. Sie reichen von gefälschten E-Mails (oder SMS - dieser Artikel beschränkt sich jedoch auf das immer noch am weitesten verbreitete Angriffswerkzeug, die E-Mail), die vorgeben, von Banken, Behörden, vertrauenswürdigen Dienstleistern, Kunden, dem Chef oder Mitarbeitenden zu stammen, bis hin zu vermeintlichen Gewinnbenachrichtigungen. Phishing zielt darauf ab, die emotionale Reaktion der Empfänger - sei es Angst, Neugier oder Gier - auszunutzen, um sie zu Handlungen zu verleiten, die sie unter normalen Umständen nicht ausführen würden.
Stilblüten - Wenn Phishing kreativ wird
Phishing-Mails überraschen bisweilen mit einer seltsamen Kreativität. Ob schlechte Übersetzungen (“Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen” oder "Açtion Required"), überzogene Behauptungen (die Masche mit dem Nigerianischen Prinz kennt mittlerweile wohl jeder) oder abenteuerliche Geschichten ("Jemand hat gerade mit Ihrem Passwort versucht, sich in Ihr Konto einzuloggen. Wir haben es blockiert, aber zu Ihrer Sicherheit überprüfen Sie Ihre Kontobewegungen -Link hier") – die Versuche der Manipulation können durchaus kurios erscheinen. Doch hinter der Fassade der Skurrilität lauert die Gefahr ernsthafter Bedrohungen.
Die grössten "Fails" - Lektionen aus Phishing-Pannen
Auch in der Welt des Internetbetrugs sind Täuschungsmeister nicht unfehlbar. Unbeabsichtigte Rechtschreibfehler (wie etwa "ß" oder "ç" in vermeintlich Deutschschweizer Texten), inkonsistente Absender- und Domain-Adressen und andere Ausrutscher (plötzlich "Gesendet von meinem iPad" etwa unter einer bekannten Signatur oder Texte verfasst in einer anderen als der bisher gewohnten Firmensprache) sind verräterische Signale. Diese Pannen sind nicht nur amüsant, sondern auch lehrreich.
Woran erkenne ich Phishing-Mails?
Um einen Phishing-Versuch zu erkennen, braucht es etwas Erfahrung und einen gesunden Menschenverstand. Achten Sie auf verdächtige Absenderadressen, insbesondere wenn sie nicht mit der angeblichen Organisation übereinstimmen. Seien Sie misstrauisch bei unerwarteten Anhängen oder Links (niemals darauf klicken!) und überprüfen Sie die URL sorgfältig auf Tippfehler oder Unstimmigkeiten. Misstrauen ist auch angebracht, wenn versucht wird, ein Gefühl der Dringlichkeit zu erzeugen und wenn mit Konsequenzen gedroht wird, wie z.B. Geldverlust, Strafanzeige oder Sperrung der Kreditkarte. Sätze wie "Klicken Sie jetzt, sonst..." sollten uns grundsätzlich aufhorchen lassen und eine gesunde Portion Skepsis auslösen.
KI-Generierte Täuschung - Eine neue Dimension der Bedrohung
Mit dem Fortschritt der KI-Technologie erreicht die Raffinesse von Phishing-E-Mails eine neue Stufe. KI-Tools wie ChatGTP sind nun in der Lage, menschenähnliche Texte zu erzeugen und traditionelle Phishing-Angriffe realistischer zu gestalten, indem sie Rechtschreib- und Grammatikfehler vermeiden und einen überzeugend professionellen Schreibstil verwenden. Dadurch wird es noch schwieriger, echte von gefälschten Nachrichten zu unterscheiden. Zudem können Chatbots & Co. Phishing-Kampagnen viel schneller erstellen und verbreiten, als es Menschen je alleine könnten, was die Angriffsfläche enorm vergrössert. Andererseits kann KI - im Sinne von "Feuer mit Feuer bekämpfen" - die Abwehr stärken. Richtig eingesetzt sind KI-Tools besonders geeignet, um KI-gestützte Phishing-Versuche zu erkennen. Generative KI-Modelle können auch Awareness-Schulungen wesentlich individueller, effizienter und effektiver gestalten.
Anti-Phishing-Schutzmassnahmen
Die Erkennung von Phishing-Mails erfordert ein wachsames Auge und ein Bewusstsein für die subtilen Hinweise. Empfohlene technische Vorkehrungen sowie Schritte zur Sensibilisierung der Mitarbeitenden finden Sie auch in unserem Blog. Bleiben Sie informiert, schulen Sie sich und Ihre Mitarbeitenden regelmässig über aktuelle Phishing-Taktiken und setzen Sie auf Sicherheitslösungen, die Ihnen einen verlässlichen Schutz bieten. In einer Welt, in der sich die Betrugsmaschen laufend weiterentwickeln, ist Wachsamkeit der Schlüssel zur digitalen Sicherheit.
Quellen und weiterführende Informationen:
- Schweizerische Kriminalprävention: Phishing
- Generative AI is making phishing attacks more dangerous (TechTarget Network, 18.12.2023.)
- Das Zwei-Säulenkonzept zur Bekämpfung von Phishing-Attacken (Gastbeitrag terreActive auf aspectra.ch 04.07.2022)
- Fünf kleine und ein grosser Tipp für Sicherheit am Rechner (aspectra.ch 11.02.2020)