2500296

Phishing & Co.: So schützen Sie sich gegen Hacker

21.05.2020 | 13:02 Uhr | Dr. Niklas Hellemann

Wenn man sich Schadsoftware einfängt, ist häufig von einem Hacker-Angriff die Rede. Aber viele Opfer laden die Cyberkriminellen selbst in ihr System ein, weil diese bewusst und möglichst gewinnbringend menschliche Verhaltensweisen ausnutzen.

„Das Kammergericht Berlin ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen“. Mit dieser Nachricht wendet sich die Pressestelle des Berliner Kammergerichts Anfang Oktober 2019 an die Öffentlichkeit. Denn 150 Richter und 370 Angestellte sind seit diesem Tag weitgehend offline.

Die Malware Emotet hat die Computersysteme des höchsten Berliner Gerichts lahmgelegt. Emotet ist eine sehr flexible Schadsoftware-Plattform, die sich hauptsächlich über E-Mails verbreitet. Öffnet der Empfänger eine entsprechende Phishing-Mail beziehungsweise den darin enthaltenen Anhang, gelangt der Schädling auf sein System, kann sich von dort im Firmennetzwerk ausbreiten und so im schlimmsten Fall das ganze Unternehmen blockieren. Deshalb warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Angriffswelle und stuft Emotet als die „gefährlichste Schadsoftware der Welt“ ein.

Doch diese Malware ist nur das prominenteste Beispiel der derzeitig wichtigsten Taktik von Cyberkriminellen: Fast alle erfolgreichen Cyberattacken starten mit einer E-Mail und damit einen direkt auf den Nutzer ausgerichteten Angriff.

Alte Systeme, ahnungslose Nutzer: Was Angriffe erleichtert 

Im September 2019 infizierte der Trojaner Emotet das Netzwerk des Kammergerichts Berlin.
Vergrößern Im September 2019 infizierte der Trojaner Emotet das Netzwerk des Kammergerichts Berlin.
© berlin.de/gerichte/ kammergericht/das-gericht/besucherinformationen

Natürlich schützen die meisten Opfer von Emotet & Co. ihr System mit Spamfilter und Antivirensoftware. Doch diese wichtigen technischen Gegenmaßnahmen, die den Rechner von Malware freihalten sollen, stoßen immer häufiger an ihre Grenzen: Spamfilter lassen immer noch rund zehn Prozent aller betrügerischen E-Mails zum Empfänger durch. Außerdem können Antivirenprogramme moderne Schadsoftware oft nicht erkennen, da sich deren Code konstant verändert – die Malware verwendet einen sogenannten polymorphen Schadcode.

Dazu kommt, dass in erstaunlich vielen Unternehmen noch zahlreiche Betriebssysteme und Softwareprogramme nicht auf dem aktuellen Stand sind: Das Kammergericht Berlin beispielsweise betrieb zahlreiche Rechner noch mit Windows 95. Unter diesen Voraussetzungen braucht es dann nur noch einen unbedarften Nutzer, der auf einen falschen Link klickt oder einen falschen Anhang öffnet. Die Folgen sind dramatisch: Ob Krankenhäuser in Saarland und Rheinland-Pfalz, die Modefirma Marc O’Polo oder eben das Berliner Kammergericht – allein in den letzten Monaten kamen zahlreiche Beispiele für derartige Attacken ans Licht. Und die Dunkelziffer ist noch weitaus größer. 

Das Spektrum dieser Hacker-Angriffe, die von einer E-Mail ausgehen, umfasst zum einen sehr breit angelegte Betrugsversuche, bei der jeder unaufmerksame Empfänger zum Opfer werden kann: Zum Beispiel Betrugsmails von scheinbar seriösen Banken und Onlineshops oder Nachrichten, die eine unverhoffte Millionenerbschaft ankündigen. Auf der anderen Seite gibt es zielgerichtete Attacken, bei denen die Angreifer ihr Opfer im Vorfeld ausgiebig ausspionieren.

In letzter Zeit tritt auch das sogenannte Dynamite-Phishing immer häufiger auf: Dabei senden die Angreifer einem breit angelegten Empfängerkreis automatisierte und zielgerichtete – und dadurch glaubwürdige - Nachrichten, die zum Beispiel auf eine vermeintliche Mailunterhaltung mit einem echten Kollegen Bezug nehmen. Die Kombination aus Massenmailing und relevantem Aufhänger macht diesen Angriffstypus besonders effizient und somit auch besonders gefährlich.

Cyberkriminelle als Menschenkenner: Warum jeder reinfallen kann 

Phishing-Mails sollen zum sofortigen Öffnen verführen: Cyberkriminelle tarnen sie dazu häufig mit einem scheinbar vertrauenswürdigen Absender und einer dringenden Botschaft.
Vergrößern Phishing-Mails sollen zum sofortigen Öffnen verführen: Cyberkriminelle tarnen sie dazu häufig mit einem scheinbar vertrauenswürdigen Absender und einer dringenden Botschaft.

Über die Jahre haben Hacker und Betrüger sich immer stärker professionalisiert und stellen beispielsweise wie im Fall der Hacker-Gruppe „Dark Overlord“ auch Job-Ausschreibungen ins Darknet. Sie haben gelernt, sehr effizient vorzugehen und versuchen, wie ein Unternehmen mit möglichst wenig Aufwand viel Ertrag zu erwirtschaften. Dabei hat sich der Fokus immer mehr von den Sicherheitslücken der Betriebssysteme und Softwarelösungen auf Verhaltensweisen und Schwächen der Nutzer verschoben – weil dieser Weg häufig wesentlich effizienter ist.

Die typischen Phisher von heute sind also ganz anders als das stereotype Bild vom einsamen Hacker im Kapuzenpulli höchst soziale Personen, die äußerst effektiv die menschlichen Schwächen anderer auszunutzen wissen.

Das Klischee vom dummen Nutzer, der auf jede E-Mail klickt, greift hier allerdings zu kurz und tut gerade Menschen in größeren Unternehmen unrecht. Denn nur die wenigsten Mitarbeiter klicken böswillig auf Links in verdächtigen E-Mails oder laden einen Virus herunter. Vielmehr nutzen die psychologisch versierten Angreifer stark verankerte Prinzipien aus, auf denen unser Denken und Handeln teilweise bereits seit Jahrtausenden basiert. Viele dieser psychologischen Prinzipien wie Hilfsbereitschaft oder Neugier sind unter normalen Umständen und insbesondere im Arbeitsleben äußerst nützlich.

Lesetipp: Ist mein PC gehackt? So erkennen Sie Angriffe

Mit diesen Tricks arbeiten Phishing-Mails 

Cyberkriminelle nutzen für Phishing-Mails verschiedene Ansprachen: Tests ergaben, dass Nutzer vor allem auf Mails hereinfallen, die in starkem Maße Vertrauen oder Neugier hervorrufen.
Vergrößern Cyberkriminelle nutzen für Phishing-Mails verschiedene Ansprachen: Tests ergaben, dass Nutzer vor allem auf Mails hereinfallen, die in starkem Maße Vertrauen oder Neugier hervorrufen.
© Sosafe

Im Falle der Hilfsbereitschaft haben unsere Vorfahren beispielsweise gelernt, sich in den immer komplexer werdenden sozialen Gruppen gegenseitig zu unterstützen und so die ganze Gruppe zu stärken. Ob aus altruistischen oder egoistischen Motiven: Hilfsbereitschaft ist eine durch und durch vorteilhafte Fähigkeit, denn sie stärkt die soziale Bindung und hilft, in der Gruppe effizienter zu arbeiten. Es ist aber gerade diese Eigenschaft, die Phishing-Betrüger häufig ausnutzen, wenn sie beispielsweise eine Mail versenden, in der ein vermeintlicher Kollege danach fragt, ob man die angehängte Rechnung schnell einmal überprüfen könnte.

Auch Neugier ist eine tief sitzende Eigenschaft, die sowohl in unserer Entwicklungsgeschichte als auch heute jede Menge positiver Effekte hat. Neugierige Menschen sind glücklicher, besitzen ein höheres Wissen und sind gesünder, wie zahlreiche psychologische Studien belegen.

Allerdings ist es auch die Neugier, die viele Phishing-Mails ausnutzen, wenn beispielsweise ein vermeintliches Dokument vom Scanner in der Vorstandsetage in unserer Mailbox landet. „Nur mal eben hineinschauen, vielleicht ist es ja die neue Bonus-Tabelle oder eine andere spannende Information, die ich eigentlich nicht sehen sollte“, mag sich mancher Mitarbeiter dabei denken und ist dann allzu bereit, auf die vermeintlich interessante E-Mail zu klicken. Wie also schaffen es die „Phisher“ genau, dass ihnen so viele Nutzer auf den Leim gehen? Welche Manipulationstaktik ist die effektivste, um beispielsweise zu erreichen, dass eine Kontoverbindung eines Lieferanten entgegen der internen Vorschriften abgeändert wird und so hohe Beträge auf fremde Konten von Betrügern überwiesen werden? Auf welche Mechanismen springen Nutzer besonders gut an – und wie kann man sie schulen, hier zukünftig vorsichtiger und wachsamer zu sein?

Wie Unternehmen ihre Mitarbeiter schulen können

Erste Maßnahmen gegen Phishing: Wenn Sie den Header einer verdächtigen Mail auf der Analyse-Webseite www.iptrackeronline.com eingeben, bekommen Sie den Absendeort angezeigt.
Vergrößern Erste Maßnahmen gegen Phishing: Wenn Sie den Header einer verdächtigen Mail auf der Analyse-Webseite www.iptrackeronline.com eingeben, bekommen Sie den Absendeort angezeigt.

Hier ist es sinnvoll, zunächst die verschiedenen Taktiken zu analysieren, die Cyberkriminelle einsetzen, um die Nutzer zu manipulieren. In Unternehmen lassen sich die Mitarbeiter zum Beispiel mit Hilfe von simulierten Phishing-Mails sensibilisieren und sie anschließend im Umgang mit derartigen Angriffen schulen. Außerdem kann man so gleichzeitig völlig anonym die Reaktionen von Endnutzern auf E-Mail-basierte Attacken prüfen.

Entsprechende Dienstleister, etwa Sosafe, erstellen dazu Testmails nach verschiedenen Kriterien: Ist die Mail leicht, mittel oder schwierig als riskant zu erkennen? Wird eher der private oder der berufliche Kontext aufgegriffen? Wird mit Druck und Angst, mit Gewinnversprechen oder eher mit Lob und Schmeichelei gearbeitet? 

Die Mails werden dann an die Mitarbeiter verschickt, um diese für derartige Attacken zu sensibilisieren.  Die Nachrichten sind mit anonymen Codes versehen, die es dem Sicherheitsdienstleister zwar erlauben, die Interaktion des Nutzers mit der E-Mail zu erheben, also um festzustellen, ob er sie geöffnet, einen dort angegegebenen Link geklickt, einen Anhang geladen oder Passwörter eingegeben hat. Andererseits bleibt mit dem Code-Verfahren trotzdem die Anonymität des Mitarbeiters geschützt.

Test: Auf diese Phishing-Mails klicken die meisten Nutzer 

Ein Beispiel einer simulierten Phishing-Mail, die Eigenschaften wie Hilfsbereitschaft und Vertrauen ausnutzt, damit der Empfänger sie sofort öffnet. Die Klickrate beträgt hier zum Teil über 80 Prozent.
Vergrößern Ein Beispiel einer simulierten Phishing-Mail, die Eigenschaften wie Hilfsbereitschaft und Vertrauen ausnutzt, damit der Empfänger sie sofort öffnet. Die Klickrate beträgt hier zum Teil über 80 Prozent.
© Sosafe

Cyberkriminelle verwenden in Phishing-Mails meist eine Ansprache, die sich in sechs Bereiche einteilen lässt: Druck/Angst, Vertrauen/Intimität, Neugier/Interesse, Autorität, Hilfsbereitschaft, Lob/Schmeicheln. In den simulierten E-Mails kann sich der Dienstleister der entsprechenden psychologischen Mechanismen bedienen und herausfinden, welche Ansprache sich in einem bestimmten Unternehmen als besonders erfolgreich herausstellt.

Die Auswertung zahlreicher solcher Tests zum Verhalten gegenüber Phishing-Mails zeigt dabei ein dramatisches Bild: Insgesamt klickten 18 Prozent der Empfänger eine fingierte Phishing-Mail an, die effektivsten Mails weisen aber eine Klickrate von über 80 Prozent auf. Sind Nutzer auf eine Mail hereingefallen, geben sie dann auch in 74 Prozent aller Fälle ein Passwort auf eine dahinter geschaltete, gefälschte Log-in-Seite ein.

Das bedeutet: Drei von vier Nutzern, die durch die gefälschte E-Mail auf diese Seite gelangen, geben dort beispielsweise ihr Windows-Passwort an. Anhand dieser Ergebnisse wird klar, dass akuter Handlungsbedarf besteht, ein stärkeres Bewusstsein für das Thema Phishing zu schaffen.

So nutzen Cyberkriminelle die Chef-Masche 

Die erfolgreichste E-Mail in diesen Simulationen ist dabei eine Mail, die so aussieht, als käme sie von einer echten Führungskraft: Sie fordert den Empfänger darin unmissverständlich auf, ein angehängtes Word-Dokument zu öffnen, das angeblich wichtige Infos enthält. Interessant ist, dass auf die exakt gleiche E-Mail um ein Drittel weniger Empfänger klicken, wenn sie nicht direkt von der Führungskraft, sondern von deren Assistenz versendet wird. Hier zeigt sich ein weiteres psychologisches Prinzip: Autoritätshörigkeit erhöht die Gefahr, Opfer einer Phishing-Attacke zu werden.

Über alle E-Mails hinweg ist die Taktik, die am effektivsten funktioniert, jedoch nicht der Aufbau von Autorität oder Druck, sondern das Ausnutzen von Neugier. So werden E-Mails, in denen vermeintliche Fotos der Weihnachtsfeier, ein peinliches Video oder auch Gehaltsdaten der Kollegen zu finden sind, mit Abstand am häufigsten angeklickt. Das Fatale daran: Für derartige Mails muss der Angreifer kaum spezifisches Vorwissen haben: Fast jedes Unternehmen veranstaltet im November oder Dezember eine Weihnachtsfeier – und wenn dann Anfang Januar eine entsprechende Mail mit den „Fotos“ folgt, ist die Ausbeute der Phisher entsprechend hoch.

Bei verdächtigen Mails genügt es häufig schon, sich erweiterte Informationen zum Mail-Header anzeigen zu lassen: Diese Mail zum Beispiel kommt nicht von Paypal, sondern von einem anderen Absender.
Vergrößern Bei verdächtigen Mails genügt es häufig schon, sich erweiterte Informationen zum Mail-Header anzeigen zu lassen: Diese Mail zum Beispiel kommt nicht von Paypal, sondern von einem anderen Absender.

An zweiter Stelle auf der Erfolgsskala der Phisher steht das Vortäuschen von Vertrauen/ Intimität, indem der Angreifer beispielsweise vorgibt, ein Kollege oder Geschäftspartner zu sein. Technisch ist das sehr einfach möglich, da die vordergründig angezeigte E-Mail-Adresse sehr leicht manipuliert werden kann.

Abwehrmaßnahmen: Wie Sie Phishing-Mails sofort erkennen 

Die Ergebnisse dieser Praxistests scheinen zunächst ernüchternd. Doch trotzdem lässt sich mit bestimmten Vorkehrungen das Gefahrenpotenzial von Phishing-E-Mails deutlich reduzieren.

Firmen sollten beispielsweise Prozesse und Strukturen anpassen: Das wird zunächst nichts am menschlichen Verhalten der Mitarbeiter angesichts einer vermeintlich interessanten Phishing-Mail ändern. Allerdings können veränderte Unternehmensprozesse den Erfolg der genannten Angriffe deutlich erschweren: Zum Beispiel sollte bei der Auszahlung eines bestimmten Betrages oder der Änderung von Rechnungsdaten das Vier-Augen-Prinzip greifen.

Zweitens können Firmen aufgrund der Ergebnisse ihre Organisationskultur hinterfragen: Erst sehr starke Hierarchien machen den Autoritätsansatz der Phishing-Mails so erfolgsversprechend.

Außerdem ist es wichtig, permanent für Aufklärung zu sorgen und an Beispielen entsprechender Phishing-Mails zu arbeiten. Es hat sich gezeigt, dass Manipulationsversuche wesentlich weniger effektiv sind, wenn das Opfer den Mechanismus dahinter kennt. 

Mehr zum Thema:  Phishing-Know-How - So entlarven Sie bösartige Mails

E-Mail-Programme: Mail-Header prüfen

Outlook 2013/2016: Öffnen Sie die Mail und wählen Sie „Datei –› Eigenschaften“. Markieren Sie den kompletten Text im Feld „Internetkopfzeilen“ und kopieren Sie ihn mit der Tastenkombination Strg-C.

Thunderbird: Markieren Sie die Mail, und wählen Sie „Ansicht –› Nachrichten-Quelltext“. Markieren Sie im neuen Fenster alles bis einschließlich „to: “, und kopieren Sie den Text mit Strg-C.

Gmail (Webmail): Im Mailfenster klicken Sie rechts oben auf den Pfeil gleich neben dem Antwortpfeil. Wählen Sie dort „Original anzeigen“. Markieren Sie im neuen Fenster alles bis einschließlich „to: “, und kopieren Sie den Text mit Strg-C.

GMX (Webmail): Öffnen Sie die Mail, und klicken Sie rechts oben auf das kleine „i“ neben der Uhrzeit. Markieren und kopieren Sie den Text aus dem neuen Fenster.

Mail-Header prüfen: Den kopierten Header schicken Sie zur Überprüfung an eine Analyse-Website wie www.iptrackeronline.com .

Die Themen in Tech-up Weekly #184:

► Leistungssprung bei Notebook-CPU - endlich über 5 GHz (0:21):
www.pcwelt.de/news/2498437

► Youtube Shorts: Youtube entwickelt angeblich TikTok-Konkurrenten (2:19):
www.pcwelt.de/2498371

► Minecraft: Die Erde im 1:1-Maßstab in Klötzchen (4:25):
www.pcwelt.de/2497794

► Gamescom 2020 könnte rein digital stattfinden (6:17):
www.pcwelt.de/2498234

► Epic Games verschenkt Spiel (8:00):
www.pcwelt.de/2498439
► 975-Euro-Spielepaket für nur 28 Euro von Humble Bundle:
www.pcwelt.de/2498066

► Vodafone dementiert energisch bundesweite Internet-Störung (9:47):
www.pcwelt.de/2498129

Kommentar der Woche (11:12)

Fail der Woche (12:22):

► Coronavirus Challenge: Klobrillen ablecken - die dümmste Internet-Challenge:
www.pcwelt.de/2497448

2500296