Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können. Hier erfahren Sie, welche Phishing-Methoden derzeit besonders beliebt sind und wie Sie sich davor schützen können.
„Sehr geehrte Kundinnen und Kunden, Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter liegen uns sehr am Herzen.“ So beginnt die E-Mail einer Bank, die während der Pandemie ihre kleineren Filialen schließen muss und sich deshalb nun digital an ihre Kunden wendet. „Bitte nehmen Sie sich zwei Minuten Zeit, um Ihre Daten zu überprüfen und zu aktualisieren, um weiterhin eine reibungslose Kommunikation gewährleisten zu können.“
Die täuschend echt aussehende E-Mail mit dem Link stammt aber tatsächlich nicht von jener Bank. Sie wurde von Betrügern aufgesetzt, um direkt Konto- und Adressdaten von ahnungslosen Nutzern abzugreifen, die eigentlich dachten, sie tun das genau Richtige – ihre Daten in Zeiten erschwerter Kommunikation zu aktualisieren. Dabei appelliert die E-Mail am Ende noch einmal besonders emotional an das Gewissen der Empfänger: „Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!“
Beim „Phishing“ werden per E-Mail, Social Media oder sogar per Telefon emotionale Köder ausgeworfen, in der Hoffnung, dass jemand „anbeißt“. Und das ist in Ausnahmesituationen wie einer weltweiten Pandemie viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, heißt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das seit Beginn des vergangenen Jahres einen hohen Anstieg an Phishing-Mails mit Corona-Bezug verzeichnet hat. „Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.“ Das bedeutet: Mitarbeiter müssen gezielt geschult werden.
Denn bei Phishing-Attacken hilft eine gute Antiviren-Software nur bedingt weiter. Zwar kann sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen – doch Phishing zielt tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen, der hinter dem Rechner sitzt. Damit wird es zur einfachsten Art des Cyberangriffs, aber auch zur gefährlichsten. Bei allen Arten geben die Versender vor, jemand zu sein, der sie nicht sind – eine seriöse Bank, ein Internetanbieter oder ein anderer Dienstleister. Erfolg hat das Phishing in der Regel, wenn der Empfänger zufällig einen Bezug zum vermeintlichen Versender hat – also zum Beispiel, weil er zufällig Kunde bei der Bank ist, von der die E-Mail vermeintlich stammt. Eine andere Strategie der Cyber-Kriminellen ist auch, den Betreff so zu formulieren, dass er geradezu nach einer Reaktion schreit, wie zum Beispiel „Ihr Konto wurde gesperrt“ oder „Ihr System wurde erfolgreich gehackt“. Viele Empfänger öffnen bei so einem angsteinflößenden Szenario die E-Mail und können so schneller zum Opfer einer Phishing-Attacke werden, weil sie glauben, direkt handeln zu müssen.
Wie schon das Beispiel zu Beginn mit der Bank zeigte, versprechen subtile Phishing-Attacken in Corona-Zeiten den Kriminellen nicht nur mehr Erfolg, weil sie emotional an das Gewissen der Menschen appellieren und ihre Unsicherheit ausnutzen. Ihnen hilft auch, dass auf einmal vieles nur noch digital läuft. Da ein Großteil der Mitarbeiter im Homeoffice ist, fehlt die Face-to-Face-Kommunikation – das meiste läuft per Telefon, Chat oder E-Mail. Gerade da setzt das sogenannte Spear-Phishing an. Im Gegensatz zu den meisten Phishing-Aktionen, bei denen massenhaft E-Mails, SMS oder Direct Messages in der Hoffnung versendet werden, dass einige Personen anbeißen (sog. „Spray and Pray Phishing“), wird Spear-Phishing ganz gezielt ausgeführt. Bei dieser Attacke suchen die Kriminellen systematisch Informationen von einer Person inklusive ihrer Verbindungen zu anderen Angestellten im Unternehmen (sog. Social Engineering), um auf diese Weise eine besonders glaubwürdige Nachricht eines Kollegen oder Vorgesetzten vorzutäuschen. So gibt sich der Angreifer zum Beispiel als Geschäftsführer des Unternehmens aus und drängt darauf, entweder eine bedeutende Zahlung anzuweisen oder schnell Informationen herauszugeben, auf die er aufgrund der aktuellen Lage angeblich keinen Zugriff hat.
Eine ebenso perfide Unterart des Phishings ist das sogenannte Clone-Phishing. Dabei erstellen die Angreifer eine Kopie von einer zuvor gesendeten, echten E-Mail aus dem Unternehmen, die einen Link oder einen Anhang enthält. Die Kriminellen ersetzen jedoch Link oder Anhang durch einen bösartigen Ersatz und versenden sie erneut mit einem täuschend ähnlich aussehenden E-Mail-Kopf. Klicken die Empfänger dann darauf, weil sie glauben, die Original-E-Mail vor sich zu haben, kann Malware ins System geraten, die dann weitere Schäden anrichten; z. B. verschlüsselt sie wichtige Daten und macht diese somit unbrauchbar. Im schlimmsten Fall erlangen die Angreifer die Fremdkontrolle über das System, wodurch sie Zugriff auf alle Daten erhalten. Ein solcher Angriff ist in der Regel nur möglich, wenn zuvor schon das Postfach gehackt und sich die Phisher so illegal Zugang zu den E-Mails verschafft haben, um sie als Vorlagen verwenden zu können.
Der sicherste Schutz vor Phishing-Attacken ist, alle E-Mails, in denen Sie zu etwas aufgefordert werden, einmal genauer unter die Lupe zu nehmen – und auf bestimmte Signale zu achten. Zum Beispiel: Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links hin? Sind Anrede und Inhalt seltsam allgemein gehalten? Wenn nach PINs oder TANs gefragt wird, ist das ebenfalls ein häufiges Anzeichen für einen Phishing-Versuch.
Es gibt viele kleine Details, für die auch die Mitarbeiter in Schulungen sensibilisiert werden können. Insbesondere das Buchhaltungspersonal wird gezielt für das Spear-Fishing ausgewählt und sollte daher im Fall der Fälle wissen, wie es mit mutmaßlichen Phishing-Nachrichten umgehen sollte, um die Attacke abzuwehren – zum Beispiel, die IT-Kollegen rechtzeitig zu benachrichtigen. Denn nur so kann gewährleistet werden, dass es in einer sonst technisch einwandfreien IT-Security keine Einfallstore für Cyberkriminelle gibt.
Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!