Sie kommen als scheinbar unwiderstehliche Angebote daher oder harmlos als Bewerbung: Mit Phishing-Mails wollen Cyberkriminelle ihre Opfer abzocken. Katharina Ketels vom Kölner Cybersicherheits-Start-up Sosafe kennt die Tricks der Internetbetrüger.
SZ: Wenn jemand auf Phishing-Mails hereinfällt, ist er tatsächlich ein Idiot, wie Amazons CTO Werner Vogels sagt?
Katharina Ketels: Ein ganz einfacher Grund ist natürlich, dass eine unglaubliche Menge an Phishing-Mails in den Postfächern landen. Schätzungen von Sicherheitsfirmen besagen, dass weit über die Hälfte aller täglich versandten E-Mails Spam oder Phishing-Mails sind. Zudem bringt jeder Mensch Eigenschaften mit, die ihn oder sie leider für die Maschen von Phishing-Betrügern sehr anfällig machen. Menschen sind nun mal neugierig, ängstlich oder gestresst.
Wie nutzen Phishing-Betrüger das aus?
Ein Dauerbrenner ist die einfache Bewerbungsmail mit einem großen Foto einer sympathischen Person. Natürlich möchte ich wissen, welche Person dahintersteckt, und klicke auf den vermeintlichen Lebenslauf. Eine weitere Taktik, die extrem gut funktioniert, ist das Spiel mit der Angst wie bei den sogenannten Sextortion Scams. Hier stellt sich ein Betrüger mit dem Hinweis vor, er habe den Empfänger beim Besuch einer pornografischen Seite mit der Laptop-Kamera gefilmt. Gegen eine kleine Zahlung in Form von Bitcoin könne das Opfer verhindern, dass dieses Video an alle Kontakte weitergeleitet würde. Diese Masche ist unheimlich erfolgreich.
Um die Opfer persönlich anschreiben zu können, brauchen die Betrüger private Daten. Wie kommen sie an diese ran?
Viele private Daten sind in einer von sozialen Medien bestimmten Zeit bereits öffentlich oder halb öffentlich zugänglich. Name und Jobtitel auf Xing oder Linkedin sind schon mal ein sehr guter Ansatzpunkt für einen Phishing-Angriff. Dazu kommt, dass öffentlich zugängliche Daten durch Hacks oder Leaks von großen Anbietern wie Dropbox oder Adobe immer weiter zunehmen.
Manche Angreifer suchen aber zunächst den direkten Kontakt zu den Opfern.
Ja, in vielen Unternehmen ist das Management besonders anfällig für solche Methoden. Wir klassifizieren sie unter "Lob/Schmeichelei". Eine Variante ist zum Beispiel eine vorgetäuschte Interviewanfrage einer wichtigen Fachzeitschrift. Sie glauben gar nicht, wie viele Führungskräfte hier bereit sind, im Vorfeld sensible Daten preiszugeben, weil sie ihren Namen schon in einer Zeitung sehen. Eine andere eher direkte Methode ist das sogenannte Dumpster Diving. Hier holen die Hacker im Hinterhof weggeworfene Unterlagen aus dem Müll, um so authentische Informationen für einen Angriff zu haben.
Gegen Cybergefahren wappnen sich Privatnutzer oder Firmen traditionell mit Methoden wie einer Firewall. Nützen diese bei solchen Methoden noch etwas?
Natürlich sollte die technische Absicherung immer der erste Schritt sein. Jeder und jedes Unternehmen sollte Antivirus-Software und eine Firewall installiert haben, und sämtliche Programme wie Browser sollten auf dem aktuellsten Stand sein. Allerdings gilt wie immer im Cyber-Security-Bereich, dass es eine hundertprozentige Sicherheit nicht gibt.
Eine trügerische Sicherheit?
Das vermeintlich sichere Arbeitsumfeld kann tatsächlich ein Problem sein. Eben dadurch, dass sich Mitarbeiter dort sicher fühlen - hinter der vermeintlich professionellen Firewall und dem teuren Spamfilter. Wir hören zum Beispiel immer wieder von Mitarbeitern, die sich eine verdächtige E-Mail auf die berufliche E-Mail-Adresse weiterleiten, um sie im Büro zu öffnen. Der Arbeitscomputer habe ja eine starke Sicherheitssoftware.
Das ist ja eher kontraproduktiv, wenn Firmen eigentliches Ziel der Angreifer sind.
Ja, ein Angriff auf 5000-Mitarbeiter-Unternehmen ist für Hacker wesentlich lukrativer als der auf eine vierköpfige Familie. Und für Unternehmen hängen an einem erfolgreichen Angriff noch ganz andere Kosten außer der Bezahlung von Lösegeld für verschlüsselte Daten oder das Geld, das fälschlicherweise überwiesen wurde. Systeme müssen wieder aufgesetzt werden, und auch der Markenschaden oder Kosten rechtlicher Auseinandersetzungen erhöhen das finanzielle Risiko enorm. Die durchschnittlichen Kosten einer für die Hacker erfolgreichen Cyberattacke schätzen Experten auf über eine Million Dollar.
Wer steckt hinter den Phishing-Mails ?
Zum einen gibt es Cyberkriminelle, die in großem Stil an Geld kommen wollen oder auch von staatlichen Akteuren finanziert werden. Von diesen Gruppen geht meist ein sogenannter APT aus, ein "Advanced Persistent Threat". Das heißt, die Bedrohung besteht über eine lange Zeit hinweg und ist sehr professionell. Diese Hacker haben meist Zugriff auf Sicherheitslücken, die noch gar nicht bekannt sind oder im Darknet für hohe Summen gehandelt werden. Aber auch diese Gruppen brauchen als "Einfallstor" einen Menschen.
Und die zweite Gruppe?
Die zweite Gruppe sind Betrüger, die vor allem schnell an Geld kommen möchten. Sie versenden eine E-Mail mit einem vermeintlich wichtigen Dokument, mit dem die Erpressungssoftware auf dem Rechner installiert wird. Eine weitere Masche ist der sogenannte CEO-Fraud, bei dem sich Betrüger als Vorgesetzte ausgeben und eine Überweisung anweisen. Zahlreiche Firmen hat diese Masche schon empfindlich getroffen. So hat 2016 ein Mitarbeiter eines Automobilzulieferers 40 Millionen Euro an einen Betrüger ins Ausland überwiesen.
Wenn Hacker alle Tricks kennen, kann ich mich als Einzelner überhaupt noch gegen Angriffe wappnen oder gar wehren?
Der erste Schritt ist, sich das Risiko bewusst zu machen. Der Gedanke "Ach, ich bin so unwichtig, mich trifft so etwas nicht" ist gefährlich. Und auch wenn die Zeiten vorbei sind, in denen man eine bösartige Mail an der Rechtschreibung erkannt hat, gibt es immer noch ein paar Elemente, an denen man sie erkennen kann. Das kann eine gefälschte Absenderadresse sein, die allerdings oft auch wieder der richtigen zum Verwechseln ähnlich sieht. Ganz sicher kann man aber nur sein, wenn man sich den erweiterten E-Mail-Header ansieht. Als Mitarbeiter in einem Unternehmen sollte man auch die IT-Abteilung bei Zweifeln fragen können. Es hilft auch, wenn man sich ein paar Beispiele aktueller Phishing-Mails anschaut. So veröffentlichen das BSI und auch die Verbraucherzentrale NRW regelmäßig Warnungen.
